Open in app

Sign in

Write

Sign in

Lab: Information disclosure in error messages (9) | Apprentice

Dinnuhoni Trahutomo
3 min readJun 15, 2024

--

Information disclosure

Executive Summary:
Mengekspos dan memahami risiko informasi yang tidak diinginkan yang dapat bocor melalui pesan kesalahan server. Dalam hal ini, bagaimana pesan kesalahan yang dihasilkan oleh server dapat mengungkapkan informasi sensitif seperti versi framework yang digunakan.

Key Findings:

Full Pen Test Results:
Tekan “ACCESS THE LAB”, kemudian akan terpindah ke tab yang baru.

Saat menekan “ACCESS THE LAB”, kita akan diarahkan ke halaman beranda yang telah disediakan oleh PortSwigger.

Kemudian, pilih dengan bebas katalog barang yang tersedia. Disini, saya menggunakan barang “Conversation Controlling Lemon”. Lalu, tekan “View details”.

Tahap selanjutnya, ke BurpSuite, ke bagian Proxy, dan pilih HTTP history. Pilih baris dengan Method GET dan URL yang menandakan ID dari produk yang telah dipilih sebelumnya. Disini Method dan URL yang menandakan produk adalah baris ke-204.

Klik kanan baris ke-204, lalu pilih “Send to Repeater”.

Pada bagian Repeater, ke baris pertama pada bagian Request, ganti parameter menjadi non-numeric string.

Disini, saya mengubah angka “1” menjadi kata “hacker”. Kemudian, tekan Send.

Setelah Send, lihat di bagian Response, terdapat angka untuk menyelesaikan Lab. Angka tersebut adalah

2 2.3.31

Kembali ke halaman beranda, dan pilih “Submit solution”.

Masukkan angka yang telah didapatkan sebelumnya, lalu tekan “OK”.

Lab berhasil diselesaikan.

Kesimpulan:
Informasi sensitif seperti nomor versi framework dapat terungkap melalui pesan kesalahan yang dihasilkan oleh server. Dalam kasus ini, dengan mengubah nilai parameter produk menjadi string non-numerik, kita dapat memicu kesalahan internal server (HTTP 500) yang kemudian mengungkapkan nomor versi dari framework yang digunakan, yaitu Apache Struts 2.3.31. Informasi ini dapat digunakan oleh penyerang untuk mencari kerentanan yang sesuai dengan versi tersebut, sehingga penting bagi pengembang untuk menangani pesan kesalahan dengan hati-hati dan tidak memberikan informasi sensitif dalam respons kesalahan.

Oleh: Dinnuhoni Trahutomo
(2209116006)

Terima Kasih!

--

--

Dinnuhoni Trahutomo

Written by Dinnuhoni Trahutomo

1 Follower

Nothing much, just words.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams