Assalamu’alaikum Wr. Wb.
Salam sehat dan sukses untuk semuanya para bug hunter dimana pun anda berada. Kembali lagi bersama saya rootbakar. Pada kesempatan yang baik kali ini izinkan saya untuk membagikan sebuah artikel temuan bug di private program salah satu platform di Indonesia. Oke biar gk terlalu basa basi langsung aja yah cek bug seperti apa sih yang saya temukan dan bagaimana dampaknya. Check this out…..
RESUME:
Bug ini saya temukan pada sebuah file dengan ekstensi .js yang terdapat dalam website redected
IMPACT:
Konfigurasi Azure yang digunakan pada website redacted berupa AzzureADTenantID, AzzureADClientID, SecretKey terpublish dan memungkinkan attacker untuk mendapatkan internal email yang digunakan.
PROOF OF CONCEPT:
- Kunjungi website redacted
- Lakukan view-source
- Cari source javascript dengan ekstensi .js, seperti main.js, app.js, config.js dan lain-lain
- Untuk temuan kali ini saya mendapatkan source .js dengan nama main.xxxxxxxxxxxxxxxx.js
- Akses file tersebut dan saya berhasil mendapatkan konfigurasi Azure di dalam source .js tersebut
- Konfigurasi Azure terpublish dengan sangat jelas berupa AzzureADTenantID, AzzureADClientID dan SecretKey
AZURE ACCESS RESULT:
REFERENCE:
https://mauridb.medium.com/calling-azure-rest-api-via-curl-eb10a06127
https://github.com/microsoftgraph/msgraph-sdk-python-core
https://www.c-sharpcorner.com/article/validating-client-id-and-client-secret-using-postman/
TIMELINE:
- Report: November, 2022
- Triage: November, 2022 (P1 Severity)
- Fix: November, 2022
- Rewards: November, 2022
Demikian writeup yang dapat saya tulis dan saya bagikan pada kesempatan kali ini, semoga tulisan ini dapat bermanfaat dan memotivasi rekan-rekan bug hunter yang lain. Jika ada kesalahan atau kekurangan pada penulisan kali ini saya sangat mengharapkan kritik dan masukan dari rekan-rekan bug hunter semua.
Salam sehat dan sukses untuk kita semua.
Best Regards,
rootbakar
Wassalamu’alaikum Wr. Wb.
Subscribe rootbakar official for more info