Lab: Information disclosure on debug page
トップページにアクセスし、burp ターゲット sitemapページタブへ
今のドメインの上で右クリック
Engagement tools – find comments を選択 (pro版機能です)
すると、ダイアログのitem欄に、Debugが含まれるリクエストがあることに気づく
/cgi-bin/phpinfo.phpを叩いてみる
phpの設定ファイル php.ini が表示されてしまいました。
このファイルには、phpのセキュリティ的に重要な情報がたくさんのっており、
この情報があれば、攻撃者に楽に攻撃されてしまいます。
SECRET_KEY環境変数を調べよとのことなので、検索
submit solutionに値を入れて、クリア!
–)v
コメント