free website hit counter Bug Bounty at *rp**pay* : Vulnerable .Env Laravel - Blogpongo

Bug Bounty at *rp**pay* : Vulnerable .Env Laravel

Halo semuanya selamat datang di blogpongo, kali ini saya akan kembali membuat Writeup dari temuan bug pada salah satu situs Luar Negeri yang berada di California.

Bug yang saya temui adalah Vulnerable .Env Laravel (Miss configuration) , file .env merupakan file yang isinya configuration seperti database,smtp api key dan lain lain.

Detail Laporan Bug

  • Nickname : EsevenB
  • Date : 6 Maret 2020
  • Bug : Vulnerable .Env Laravel (Miss configuration)
  • Level : Medium – Critical
  • Target : *rp**pay*.com

Proof Of Concept

  • Buka site target.com
  • Dan selanjutnya akses file .env : target.com/.env
  • Lalu configuration database dari website akan terlihat

Impact

attacker dapat melihat data sensitif configuration database dan mail smtp dan lain lain, namun attacker bisa juga melakukan remote database jika host database nya bukan localhost

Fix Bug

Untuk melakukan fix pada bug miss configuration ini cukup mudah hanya mengubah permission pada file .env menjadi 403 atau bisa juga dengan menambahkan baru kode pada .htaccess

Timeline

(saya meminjam paypal teman saya, karena paypal saya terkena limit 😭)
  • 06-03-2020 – Report Via Instagram
  • 07-03-2020 – Report Di Sambut dengan baik dan di fix
  • 08-03-2020 – reward di berikan melalui Paypal $xx.xx
62 Shares

Terimakasih Sudah Berkunjung Ke Blogpongo.com Semoga Artikelnya Bermanfaat Dan Berguna

Admin Ganteng

Add a Comment

Your email address will not be published. Required fields are marked *