Hello there, ('ω')ノ

 

API構成ディレクトリでの秘密鍵の公開を。

 

脆弱性：

　情報開示

 

記事：

　https://ahmdhalabi.medium.com/secret-key-exposure-in-api-config-directory-79cf7e7b976

 

今回は、ビッグデータと統合サービスに特化したプライベートプログラムへの。

招待状を受け取って。

範囲はダッシュボードのあるウェブサイトに限定されていて。

 

ダッシュボードをたどると、有効なバグを１つ見つけることができて。

次に、Burp Suiteのトラフィックを確認しているときに.

このダッシュボードのAPIが次のようになっていることがわかって。

　https://redacted.com/api

 

偵察のための時間：

最初に行うべき興味深いことは、APIコンテンツとディレクトリの検出で。

そのため、通常はカスタマイズするWordlistとFFUFツールを使用して。

APIコンテンツを総当たり攻撃するとconfigという興味深いディレクトリを見つけて。

　https://redacted.com/api/config

 

その内容を確認したところ、`LoginUrlSecretKey`というトークンがあって。

その値は次のようなものだったので注意を引いて。

　S#@x%^&$!1…

 

キーバリューについて追加の調整：

そこで、おそらくAPIログインの目的で使用される秘密鍵を見つけたので。

その後の目標は、トークンがどこで使用されているかを知ることで。

キーが使用されている場所や。

そのキーに関連するその他の有用な情報を検出するために。

いくつかの方法と手法を試して。

 

試行ステップ：

    Githubを使用して、ターゲットプログラムGithubリポジトリ内の。

　秘密鍵を検索しましたが残念ながら、肯定的な結果は見つからず。

　GoogleDorksを使用して、シークレットトークンに関連する情報を。

　見つけようとすると、また、否定的な結果を得て。

　WaybackUrlsとJavascriptファイルもチェックしましたが。

　残念ながら否定的な結果が得られて。

 

これは、２つの可能性があることを意味して。

１．秘密鍵は、テスト目的で使用されるダミー鍵で。

２．または、その名前が表すように。

　また、偵察でそれに関連する情報が見つからなかったため、キーは本当に秘密で。

そこで、２番目の仮定に基づいて問題を報告することに。

 

学んだ教訓：

秘密鍵、トークン、またはパスワードを見つけて。

それをどのように使用できるか、または秘密に公開されているかどうかが。

わからない場合があって。

一部のプログラムは、どこでどのように使用するかわからず。

公開されたキーが機密であると証明できないため、レポートを受け入れないので。

シナリオを反対に反転させて、キーが秘密であることを証明して。

インターネット上でキーに関連するものは何も公開されていないため。

それを特定するための偵察アプローチを示して。

 

Best regards, (^^ゞ