Open in app

Sign in

Write

Sign in

Lab: Information disclosure on debug page (10) | Apprentice

Dinnuhoni Trahutomo
3 min readJun 15, 2024

--

Information disclosure

Executive Summary:
Mengeksploitasi kerentanan yang ada pada halaman debug yang mengungkapkan informasi sensitif tentang aplikasi. Secara spesifik, peserta diminta untuk mendapatkan dan mengirimkan nilai SECRET_KEY dari variabel lingkungan yang dapat ditemukan di halaman debug. Proses ini mengajarkan pentingnya mengamankan halaman debug dan memastikan informasi sensitif tidak terungkap kepada publik. Hal ini dilakukan dengan menggunakan alat seperti Burp Suite untuk mengidentifikasi dan mengeksploitasi informasi yang terungkap di halaman debug.

Key Findings:

Full Pen Test Results:
Tekan “ACCESS THE LAB”, kemudian akan terpindah ke tab yang baru.

Saat menekan “ACCESS THE LAB”, kita akan diarahkan ke halaman beranda yang telah disediakan oleh PortSwigger.

Klik kanan, lalu pilih “View page source”.

Apabila sudah berpindah ke halaman baru, cari kode seperti berikut, lalu copy.

<!-- <a href=/cgi-bin/phpinfo.php>Debug</a> -->
                      |
                      |
                      |
                      v

              /cgi-bin/phpinfo.php

Kemudian, paste kode dalam URL pada halaman beranda seperti berikut.

https://0a8e009603813f648353410b0017001f.web-security-academy.net/cgi-bin/phpinfo.php

Jika sudah memasukkan URL yang telah ditambahkan tadi dengan kode yang sudah didapatkan dari HTML, maka kita akan ditampilkan ke halaman sebagai berikut.

Buka BurpSuite dan nyalakan Intercept, kemudian refresh halaman berisi deskripsi dari php. Langkah berikutnya adalah, pada kode di bagian Raw, klik kanan dan pilih “Send to Repeater”.

Ke bagian Repeater, kemudian tekan Send dan Response akan muncul di sebelah kanan Request.

Scroll ke bawah di bagian Response dan cari kata kunci SECRET_KEY. Copy kode dibawah tulisan SECRET_KEY.

q4gmxj5rui3vjufijaxexec60oewvsgu

Paste kode dibawah tulisan SECRET_KEY. Kembali ke halaman utama dan masukkan kode ke dalam pilihan “Submit solution”.

Lab telah berhasil diselesaikan.

Kesimpulan:
Lab ini menunjukkan kerentanan pada halaman debug yang dapat mengungkapkan informasi sensitif tentang aplikasi. Tujuannya adalah untuk mendapatkan dan mengirimkan variabel lingkungan SECRET_KEY. Dengan menggunakan alat seperti Burp Suite, kita dapat menemukan halaman debug melalui komentar HTML yang berisi tautan ke /cgi-bin/phpinfo.php. Mengakses halaman ini dengan Burp Repeater akan mengungkapkan informasi debugging, termasuk SECRET_KEY. Kerentanan ini mengilustrasikan pentingnya mengamankan halaman debug dan menghapus informasi sensitif dari keluaran debug sebelum aplikasi dipublikasikan.

Oleh: Dinnuhoni Trahutomo
(2209116006)

Terima Kasih!

--

--

Dinnuhoni Trahutomo

Written by Dinnuhoni Trahutomo

1 Follower

Nothing much, just words.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams