Ethic Ninja di Microsoft Bounty Program

[vc_row][vc_column width=”1/1″]

Beberapa waktu lalu Ethic Ninja mencoba mencari bug(celah keamanan) di Microsoft Bounty Programs.

pada bagian Online Services Bug Bounty

yang mencakup:
Microsoft Azure services additions: 22 April 2015
Microsoft Account services additions: 5 August 2015

 

Lalu apa itu Microsoft Bounty Programs ?

Microsoft Bounty Programs adalah Program yang di luncurkan oleh microsoft untuk para Hacker, Security Professional, researchers dsb yang menemukan bug (celah keamanan) pada produk-produk Microsoft.dan menghadiahi mereka sejumlah uang serta menaruh nama mereka pada Hall Of Fame dari Microsoft Bounty Program.

Dalam kasus ini Ethic Ninja mencoba melakukan penetrasi pada subdomain azure yaitu azure.microsoft.com. Setelah mencoba dan mempelajari situs Azure, Ethic Ninja berhasil menemukan bug Cross Site Scripting (XSS)

Bug yang berbahaya karena dari bug ini bisa di kembangkan menjadi

• Fake login / Pencurian data client (user/admin)
• Pencurian Cookies
• Injeksi Javascript
• Mass Deface

berikut adalah POC dari bug yang di temukan Ethic Ninja

Setelah melaporkan hal ini ke Microsoft, Ethic Ninja berhasil masuk di Security Researcher Acknowledgments for Microsoft Online Services.

[/vc_column][/vc_row]