Hallo lurr… lama ngga nulis sekalinya nulis ngga lama keknya ini, kali ini saya ingin menuliskan tentang bug bounty hunting yang saya lakukan dikala senggang (sok sibuk) padahal pengangguran. Celah yang saya temukan ini berjudul “Security Misconfiguration to Sensitive Data Exposure” pada sebuah website redacted.com (maaf ngga mau nyebut merek, katanya melanggar etika nanti). Intinya pada web perusahaan pemesanan tiket dan penginapan secara daring melalui situs web serta ponsel pintar menahan uang konsumen (refund) selama berbulan-bulan.(kutipan wikipedia)
Summary
Security Misconfiguration biasanya terjadi karena adanya kesalahan konfigurasi, biasanya kesalahan itu terjadi karena kelalaian (human error) si programmer itu sendiri karena kurangnya atau memahami dokumentasi pada suatu sistem yang digunakan.
Sedangkan Sensitive data merupakan informasi yang harus dilindungi dari penyerang, seperti password, alamat, social security, credit card, informasi bank, rekam kesehatan, dan lain sebagainya. Sedangkan pengertian data exposure adalah keadaan dimana data atau informasi tidak dilindungi dengan baik atau terekspose sehingga penyerang berkesempatan untuk mengekploitasi dan mencuri data.
PoC (Piye o Carane)
Seperti bug hunter umumnya, tahap pertama kalo ngga footprinting yaa langsung reconnaisance (tahap pengumpulan informasi / data). ditahap ini saya melakukan subdomain scanning
Oneliner Subdomain Scanning :
van@tegalsec:~$ curl https://subbuster.cyberxplore.com/api/find?domain=redacted.com -s | grep -Po "(([\w.-]*)\.([\w]*)\.([A-z]))\w+"
Ada banyak sekali subdomain yang ditampilkan, setelah mencoba melihat-lihat ada salah satu subdomain yang begitu menarik yaitu ketika saya akses ia menampilkan pesan mengenai kesalahan error, dimana yang saya tahu pesan error ini adalah akibat debugging true pada framework “Laravel”
Terdapat banyak sekali credentials yang digunakan website dengan framework Laravel ini dan saya mencoba salah satu credentials yang ada,
Testing AWS S3 Bucket
Web ini sendiri jika saya perhatikan memang masih terkesan masih ngga terlalu apalah gitu, masih banyak konten yang menggunakan subdomain dari AWS untuk S3 Bucket. Yang kemudian menarik perhatian saya adalah untuk memeriksa apakah Credential AWS Key yang saya dapatkan valid ataupun tidak.
Untuk melakukan percobaan ini, sebelumnya kita harus sudah meng-install AWS CLI. Untuk install AWS CLI cukup jalankan command berikut :
pip install awscli
Setelah itu langsung bisa dicoba ke S3 menggunakan credentials yang sudah didapat :
Untuk memastikannya saya mencoba melihat daftar bucket yang tersedia. Banyak sekali bucket dari web ini, lalu saya mencoba upload file txt pada bucket payment.redacted.com dan hasilnya berhasil.
aws s3 mv test.txt s3://payment.com.redacted.com
move: ./text.txt to s3://payment.com.redacted.com/test.txt
Url :
http://payment.redacted.com/test.txt
http://payment.redacted.com.s3.amazonaws.com/test.txt
Tampaknya memang ada misconfiguration pada bucket redacted.redacted.com.s3.amazonaws.com
Impact
Penyerang bisa saja memanfaatkan data sensitif berupa credential login untuk keuntunganya pribadi, pencurian data, perusakan, mengunggah sebuah backdoor bahkan bisa merusak reputasi dari perusahaan itu sendiri.
Proposed Remediation
Set APP_DEBUG menjadi FALSE, simpel cuman kadang ngga terlalu diperhatikan oleh sebagian developer padahal impact-nya bisa sangat fatal, lebih prever ke security testing dan juga tentang kesadaran keamanan (security awareness)
Bounty ?
Dikarenakan kegiatan bug bounty hunting itu tidak ada ikatan terhadap pihak terkait (pekerja lepas) pada suatu aplikasi yang tidak menyelenggarakan program tersebut kita tidak bisa menutut apapun akan hal respon / hadiah atau hal lain, terkecuali memang pihak yang bersangkutan menyelenggarakan program sayembara “Bug Bounty”. Beruntung untuk laporan ini saya diberikan Sertifikat Apresiasi, yaaa walau kadang mikir perusahaan segede ini kok medit amat wkwk
References
https://owasp.org/www-project-top-ten/2017/A3_2017-Sensitive_Data_Exposure
https://medium.com/shallvhack/owasp-sensitive-data-exposure-attacks-7ef41e6b4a59
https://teguh.co/ssrf-vulnerability-dan-aws-s3-bucket-misconfiguration-di-placeit-envato/