Seorang bug hunter bernama Emad Shanab baru saja mendapatkan reward dari Google setelah menemukan celah di Google Adword. Google AdWords adalah platform periklanan dari Google dimana kita dapat mengatur iklan bisnis kita.
Menurut penuturannya di blog, Emad Shanab berprofesi sebagai seorang pengacara. Menjadi seorang bug hunter adalah hobi yang dia lakukan di waktu luangnya.
Kronologinya, pada tanggal 8 Maret 2018 ketika sedang browsing, dia meng-klik tombol “even more from Google” di akun Googlenya.
Setelah lama menelusuri halaman tersebut, perhatiannya tertuju kepada halaman Google Adword. Dia pun login dan hanya bermain main di halaman tersebut tanpa berpikir akan menemukan sesuatu.
Selanjutnya dia mencoba memasukkan beberapa payload XSS di halaman https://adwords.google.com/aw/conversions . Setelah payload
“><svg/onload=alert(document.domain)>”@x.y
ditambahkan, popup xss muncul dan Emad Shanab berpikir mungkin itu hanya self XSS namun setelah di save, ternyata XSS tadi tersimpan dan muncul di semua browser terbaru.
Akhirnya setelah melaporkan celah tersebut, pihak Google mengkonfirmasi bug tersebut dan memberi reward sebesar 3133.7 USD dan namanya masuk di halaman Hall of Fame Google. Fakta menarik lainnya, target Emad Shanab tahun ini tercapai karena pada 17 Februari 2018 dia pernah update status di Facebooknya bahwa tahun ini targetnya adalah masuk HOF Google.
Selamat untuk Emad Shanab atas bug bounty dan atas HOF nya, semoga hal ini bisa menginspirasi bug hunter tanah air.
Referensi:
https://medium.com/@Alra3ees/google-adwords-3133-7-stored-xss-27bb083b8d27