Bypass Popup Blocking pada Mode Split Screen melalui Abuse Event onerror
Hi, I’m a bug bounty hunter and cybersecurity enthusiast who began my journey in 2023. I enjoy exploring and discovering hidden vulnerabilities in browsers, applications, and various platforms—especially those that are rarely examined by others. My focus is on browser and website security issues. I also share my findings and educational content through my YouTube channel, Lazy Cyber Security. https://8da993bf3fa4.ngrok-free.app
Pada kondisi normal, browser membatasi pembukaan pop-up yang tidak dipicu oleh interaksi pengguna. Namun, perilaku ini berubah ketika halaman dijalankan dalam mode Split Screen.
Dengan memanfaatkan event onerror pada elemen media HTML seperti <audio>, sebuah halaman dapat mengeksekusi window.open() secara otomatis tanpa klik apa pun. File media yang sengaja dibuat tidak valid akan gagal dimuat, memicu onerror, dan langsung membuka jendela atau tab baru.
Ketika teknik ini dijalankan di Split Screen mode, mekanisme popup blocking tidak diterapkan sebagaimana mestinya. Dengan menambahkan banyak elemen <audio>, setiap error akan membuka pop-up secara beruntun tanpa diblokir. Perilaku ini tidak terjadi pada halaman normal, hanya muncul saat Split Screen aktif.
Dampaknya, halaman berbahaya dapat membuka pop-up dalam jumlah besar, mengganggu pengalaman pengguna, menguras sumber daya sistem, dan menghilangkan kontrol pengguna atas browser.
Severity: Low - Medium (mayan buat jajan)
![[Bug Bounty] Race Condition: Redeeming Single-Use Coupon Multiple Times](/_next/image?url=https%3A%2F%2Fcdn.hashnode.com%2Fres%2Fhashnode%2Fimage%2Fupload%2Fv1770116456998%2F629ff44d-4a0a-4445-91bf-c37d3e84c104.jpeg&w=3840&q=75)