Exploitasi Celah Insecure Firebase

  • Deviant Design Merupakan Layanan Jasa Desain dan Social Media Management Yang Mempunyai Pusat Di Jember. Dengan layanan yang murah, cepat dan pastinya dengan kualitas kelas atas. Mampu mengatur segala kebutuhanmu dalam mengelola social media.

 



Firebase adalah Realtime database yang dikembangkan oleh google dimana seringkali penggunaannya digunakan pada aplikasi mobile, namun ada juga pada web. Umumnya firebase pada aplikasi mobile digunakan sebagai database untuk fitur chatting.  Pengetahuan tim nakanosec tentang firebase sendiri sangatlah minim dan bahkan belum pernah menggunakan firebase, namun nakanosec memiliki pengalaman dimana kami dapat melakukan peretasan terhadap firebase.

Singkat cerita ketika saya mencari info pada salah satu laman website, saya selalu menggunakan tools networking pada inspect element (CTRL+I) untuk menemukan sesuatu yang menarik. Tidak sengaja saya menemukan output firebase pada salah satu web yang berdomain .go.id 

Melihat output tersebut saya mencoba peruntungan dengan melakukan exploitasi


Exploitasi

1.Git clone https://github.com/MuhammadKhizerJaved/Insecure-Firebase-Exploit

2. cd Insecure-Firebase-Exploit

3.Firebase-Write-Permission-Exploit.py

Karena disini link firebase yang saya dapat adalah https://s-usc1c-nss-240.firebaseio.com/ maka input pada tools ini menjadi seperti dibawah


Maka data yang kita input akan masuk ke dalam link berikut https://s-usc1c-nss-240.firebaseio.com/users/hacked.json

Kalian juga bisa mengcustom link atau data yang kalian masukkan dengan merubah source code pada file python tersebut, tidak sulit bahkan untuk orang awam sekalipun.

Preview


Impact

Kita dapat merubah data yang ada di dalam firebase membuat data baru yang nantinya dapat berakibat fatal pada aplikasi/fitur yang menggunakan firebase.

Patching

Gataw...

Artikel Terbaru