PHPinfo Page Disclosure at sukoharjokab.go.id
Description
Bug ini merupakan bug pertama yang saya temukan ketika memulai bug hunting. Target saya ini adalah https://sukoharjokab.go.id/ ketika saya tambahkan info.php setelah URL tersebut, saya diarahkan kehalaman yang menampilkan informasi yang seharusnya tidak bisa saya akses.
Impact
Bug ini memungkinkan penyerang bisa mendapatkan informasi seperti, PHP version, OS dan versinya, detail konfigurasi PHP, internal IP address, server environment variables, ekstensi PHP dan konfigurasinya, dan lain-lain untuk serangan berikutnya.
Reproduction Steps
- Pergi ke https://sukoharjokab.go.id/
- Tambahkan info.php setelah URL tersebut.
Timeline
11 Oktober 2023 : Kirim laporan
11 Oktober 2023 : Diteruskan ke pimpinan
selamat pagi pak/ mas… terimakasih atas informasinya… kami teruskan ke pimpinan … salam
13 Oktober 2023 : Diteruskan ke tim IT
selamat pagi… sdh kami laporkan ke pimpinan dan diteruskan ke Tim IT..
kami siap memberikan sertifikat apresiasi atas dukungan informasi yg diberikan, apabila diperlukan … salam
13 Oktober 2023 : Sertifikat apresiasi diberikan
selamat siang mas/ pak, sy staf dr Diskominfo Sukoharjo
berikut kami lampirkan sertifikat apresiasi temuan kerentanan domain kami.. #sukoharjokab.go.id
semoga dpt berguna dg baik.. salam dari pimpinan kami
terimakasih atas kerjasama yg baik ini…
salam
13 Oktober 2023 : Bug diperbaiki
