Hello there, ('ω')ノ
API構成ディレクトリでの秘密鍵の公開を。
脆弱性:
情報開示
記事:
https://ahmdhalabi.medium.com/secret-key-exposure-in-api-config-directory-79cf7e7b976
今回は、ビッグデータと統合サービスに特化したプライベートプログラムへの。
招待状を受け取って。
範囲はダッシュボードのあるウェブサイトに限定されていて。
ダッシュボードをたどると、有効なバグを1つ見つけることができて。
次に、Burp Suiteのトラフィックを確認しているときに.
このダッシュボードのAPIが次のようになっていることがわかって。
偵察のための時間:
最初に行うべき興味深いことは、APIコンテンツとディレクトリの検出で。
そのため、通常はカスタマイズするWordlistとFFUFツールを使用して。
APIコンテンツを総当たり攻撃するとconfigという興味深いディレクトリを見つけて。
https://redacted.com/api/config
その内容を確認したところ、`LoginUrlSecretKey`というトークンがあって。
その値は次のようなものだったので注意を引いて。
S#@x%^&$!1…
キーバリューについて追加の調整:
そこで、おそらくAPIログインの目的で使用される秘密鍵を見つけたので。
その後の目標は、トークンがどこで使用されているかを知ることで。
キーが使用されている場所や。
そのキーに関連するその他の有用な情報を検出するために。
いくつかの方法と手法を試して。
試行ステップ:
Githubを使用して、ターゲットプログラムGithubリポジトリ内の。
秘密鍵を検索しましたが残念ながら、肯定的な結果は見つからず。
GoogleDorksを使用して、シークレットトークンに関連する情報を。
見つけようとすると、また、否定的な結果を得て。
WaybackUrlsとJavascriptファイルもチェックしましたが。
残念ながら否定的な結果が得られて。
これは、2つの可能性があることを意味して。
1.秘密鍵は、テスト目的で使用されるダミー鍵で。
2.または、その名前が表すように。
また、偵察でそれに関連する情報が見つからなかったため、キーは本当に秘密で。
そこで、2番目の仮定に基づいて問題を報告することに。
学んだ教訓:
秘密鍵、トークン、またはパスワードを見つけて。
それをどのように使用できるか、または秘密に公開されているかどうかが。
わからない場合があって。
一部のプログラムは、どこでどのように使用するかわからず。
公開されたキーが機密であると証明できないため、レポートを受け入れないので。
シナリオを反対に反転させて、キーが秘密であることを証明して。
インターネット上でキーに関連するものは何も公開されていないため。
それを特定するための偵察アプローチを示して。
Best regards, (^^ゞ