Saya adalah lulusan SMK yang punya hobi dengan dunia Jurnalistik, Teknologi, Travel dan saya tulis semuanya di blog ini.

Halo semuanya selamat datang di blogpongo, kali ini saya akan kembali membuat Writeup dari temuan bug pada salah satu situs Luar Negeri yang berada di California.

Bug yang saya temui adalah Vulnerable .Env Laravel (Miss configuration) , file .env merupakan file yang isinya configuration seperti database,smtp api key dan lain lain.

Detail Laporan Bug

  • Nickname : EsevenB
  • Date : 6 Maret 2020
  • Bug : Vulnerable .Env Laravel (Miss configuration)
  • Level : Medium – Critical
  • Target : *rp**pay*.com

Proof Of Concept

  • Buka site target.com
  • Dan selanjutnya akses file .env : target.com/.env
  • Lalu configuration database dari website akan terlihat

Impact

attacker dapat melihat data sensitif configuration database dan mail smtp dan lain lain, namun attacker bisa juga melakukan remote database jika host database nya bukan localhost

Fix Bug

Untuk melakukan fix pada bug miss configuration ini cukup mudah hanya mengubah permission pada file .env menjadi 403 atau bisa juga dengan menambahkan baru kode pada .htaccess

Timeline

(saya meminjam paypal teman saya, karena paypal saya terkena limit 😭)
  • 06-03-2020 – Report Via Instagram
  • 07-03-2020 – Report Di Sambut dengan baik dan di fix
  • 08-03-2020 – reward di berikan melalui Paypal $xx.xx
62 Shares

Leave a Reply

Your email address will not be published. Required fields are marked *