Exploitasi Celah Insecure Firebase

   

 



Firebase adalah Realtime database yang dikembangkan oleh google dimana seringkali penggunaannya digunakan pada aplikasi mobile, namun ada juga pada web. Umumnya firebase pada aplikasi mobile digunakan sebagai database untuk fitur chatting.  Pengetahuan tim nakanosec tentang firebase sendiri sangatlah minim dan bahkan belum pernah menggunakan firebase, namun nakanosec memiliki pengalaman dimana kami dapat melakukan peretasan terhadap firebase.

Singkat cerita ketika saya mencari info pada salah satu laman website, saya selalu menggunakan tools networking pada inspect element (CTRL+I) untuk menemukan sesuatu yang menarik. Tidak sengaja saya menemukan output firebase pada salah satu web yang berdomain .go.id 

Melihat output tersebut saya mencoba peruntungan dengan melakukan exploitasi


Exploitasi

1.Git clone https://github.com/MuhammadKhizerJaved/Insecure-Firebase-Exploit

2. cd Insecure-Firebase-Exploit

3.Firebase-Write-Permission-Exploit.py

Karena disini link firebase yang saya dapat adalah https://s-usc1c-nss-240.firebaseio.com/ maka input pada tools ini menjadi seperti dibawah


Maka data yang kita input akan masuk ke dalam link berikut https://s-usc1c-nss-240.firebaseio.com/users/hacked.json

Kalian juga bisa mengcustom link atau data yang kalian masukkan dengan merubah source code pada file python tersebut, tidak sulit bahkan untuk orang awam sekalipun.

Preview


Impact

Kita dapat merubah data yang ada di dalam firebase membuat data baru yang nantinya dapat berakibat fatal pada aplikasi/fitur yang menggunakan firebase.

Patching

Gataw...

« Terbaru
Postingan Lebih Baru
Terlama »
Postingan Lama
Catatan: Hanya anggota dari blog ini yang dapat mengirim komentar.