Shikata Ga Nai

Private? There is no such things.

STRIPE Live Key Exposed:: Bounty: $1000を訳してみた

Hello there, ('ω')ノ

 

STRIPE Live Keyの露出を。

 

脆弱性

 情報開示

 

記事:

 https://infosecwriteups.com/stripe-live-key-exposed-bounty-1000-dc670f2c5d9c

 

今回は、機密性の高いSTRIPE Liveトークンがプライベート プログラムで。

漏洩しているのを発見して。

 

最初の足がかり:

Subfinder や Amass などのツールを使用して、すべてのサブドメインを収集して。

その後、httprobe を使用してライブ サブドメインをフィルタリングして。

ユーザー/管理者を Google OAuth にリダイレクトするサブドメインが見つかって。

 

 admin.redacted.com

 

https://github.com/tomnomnom/httprobe

 

お使いのブラウザは JavaScript を実行でき。

これにより、ドキュメントが変更される可能性があり。

この場合、Google OAuth にリダイレクトされて。

この後、admin.redacted.com に対して curl を使用して。

プレーンな元の出力だけを取得し。


STRIPE Liveトークンのリーク

 

今、リークしているストライプ ライブ トークンがありますが。

トークンの有効性を確認する必要があり。


Stripe トークンの悪用:

Keyhacks と Stripe API ドキュメントを確認した後に。

以下を含む多くの情報を得ることができて。

 

https://github.com/streaak/keyhacks#

 

https://stripe.com/docs/api

 

残高:

Stripe アカウントの現在の残高を取得して。

     curl https://api.stripe.com/v1/balance -u sk_live_<Secret-Key>

 

Stripe アカウントの残高

 

顧客:

顧客のデータを取得し、支払いを追跡し。

お客様の名前、電子メール、使用された IP などを含み。

     curl https://api.stripe.com/v1/customers -u sk_live_<Secret-Key>

 

複数の顧客のデータと今後の支払い

 

料金「

料金とカード情報を取得し。

そのようなカードの詳細の 1 つも以下に添付されて。

Stripe は最後の 4 桁のみを提供して。

     curl https://api.stripe.com/v1/charges -u sk_live_<Secret-Key>

 

カードの詳細

 

ファイル: 管理者がアップロードするファイルを取得し。

通常、請求書、紛争、イベント、残高、銀行口座、トークン、料金などが含まれて。

     curl https://api.stripe.com/v1/files -u sk_live_<Secret-Key>

 

取得したファイル

 

Best regards, (^^ゞ