Bypass Phone Verification On Perfect Money

Kemarin mungkin adalah hari yang tak pernah saya lupakan, karena kemarin adalah hari dimana pertama kali saya mendapatkan Bounty terbesar (bagi saya) dari kegiatan bug hunting.

Ini berawal ketika saya ingin mengecek saldo Perfect Money saya (walaupun saldo nya $0.46), akhirnya saya iseng membuka page Setting di akun saya dan saya coba untuk menambahkan Nomer telfon untuk berjaga jaga ketika akun saya lupa Password.

Dan kali ini methode yang saya gunakan kembali adalah Bruteforce, kenapa bruteforce ? karna di fiture ini tidak memiliki Rate limiting atau Bandwith Request.

terlihat inputan nomer telfon pada parameter number= dan sama sekali tidak ada tambahan captcha ataupun token lainnya, karena itu saya sangat mudah untuk membruteforce parameter tersebut hingga mendapatkan angka OTP yang valid. Berikut video nya :

— Timeline Disclosure —
[Date: 09:59 03.11.19] Bertanya apakah situs memiki program bug bounty
[Date: 12:37 08.11.19] Memberikan Proof video
[Date: 06:12 10.11.19] Reward di terima sebesar $500 USD

Leave a Reply

Your email address will not be published. Required fields are marked *

Up Next:

No Rate Limit To OTP Bypass And Account Takeover

No Rate Limit To OTP Bypass And Account Takeover