Hacking
Casual
275

Bug Bounty Report API Key Disclosure / Leak






  11-Dec-2022 18:00:58



Bang gwa report bug di situs X di situsnya key API kebaca di client side setelah gw report katanya bukan bug atau key sensitive kira kira laporan gw valid ga ya soalnya dari yg gw tau API key ga boleh ke expose publik kalau bisa si tambahin rekomendasi misal cara keamanan API key atau endpoint 

*Beware click the link!


DISCUSSION



11-Dec-2022 18:44:26

Situs apa? Coba lu manfaatin key sama api kalau bisa ada impactnya biar bisa diterima




Reply


18-Dec-2022 19:57:41



Percuma udah gw skip 


Reply

Saya belum pernah bermain di bug bounty, tetapi saya pernah melakukan development. Sebelum itu kalau boleh tahu situs apa? Kemudian API nya itu untuk apa? Contoh melakukan pembayaran, data user, data detail barang dan lainya. Masalah nya seperti ini misal midtrans, ini penyedia payment gateway untuk melakukan pembayaran nah di dalam nya ada client key dan server key, dari apa yang saya ketahui client key boleh dilihat oleh client tapi untuk server key tidak boleh (only dev) karena nanti disini untuk proses melakukan validasi, key dan token akan dilakukan hash untuk validasi di pembayaran dan generate token sebenarnya ada banyak platform penyedia API dan mereka menyediakan key untuk client dan server key, kalau boleh tau juga jawaban dari penyedia itu apa? Jadi mereka punya alasan menagapa laporan kamu ditolak oleh mereka

Tapi ada juga API buatan developer mereka sendiri, jika kamu bisa memanfaatkan API tersebut maka bisa dianggap valid harus nya karena jika bisa digunakan kamu bisa memanfaatkan API tersebut misal mengambil data (get), post data (post), put dan lainya  coba kamu tembak API key nya lalu coba kirimkan mereka, data yang dikirim, ukuran byte, endpoint, dampak dan lainya  

Kalau untuk melakukan pengamanan API sebenar nya ada banyak tapi detail kalau dijelaskan, contoh penerepan sederhana membuat key, auth kalau mau detail coba cari tahu di internet atau vidio secure API nah kamu baca disana 




Reply




12-Dec-2022 04:57:48
Kalau bisa coba parsing datanya test coba di paramsnya


Reply




12-Dec-2022 14:48:05

Bisa jadi laporan lu di tolak baru gateway awal mungkin Jadi owner-nya nerima paling statusnya informational soalnya cuma buat akses step awal lu bisa akses list internal route dan data data penting lain ga?




Reply


13-Dec-2022 06:53:06



Mungkin juga, tapi yang tau parameter valid tidak nya penyedia. Coba dia post detail lagi misal request body, header path atau query params nya  


Reply

Thank yang udah jawab problem gw dah solved bug report gw di tolak gpp lah gw dah males urus 




Reply

Login for report, comment and join discussion
Login Here
Sponsored

Popular Posts
Gps Tracker Seccodeid Free Too...
General
21267
202
Top


Djie sam soe Djie sam soe
Complete Basic Course in Kali...
Linux
14303
4
Top


Djie sam soe Djie sam soe
Komintod (Ministry of Communic...
Data Leak
6457
78
Top


Murtad methamphetamine Murtad methamphetamine
Free Proxy List
Networking
3612
3
Top


Sandidi Sandidi
Mass Reverse IP Unlimited
Tools Hacking
3361
13
Top


ImamWawe ImamWawe

Related Post

Youtube Video

Subscribe