Singkat cerita ketika saya mencari info pada salah satu laman website, saya selalu menggunakan tools networking pada inspect element (CTRL+I) untuk menemukan sesuatu yang menarik. Tidak sengaja saya menemukan output firebase pada salah satu web yang berdomain .go.id
Melihat output tersebut saya mencoba peruntungan dengan melakukan exploitasi
Exploitasi
1.Git clone https://github.com/MuhammadKhizerJaved/Insecure-Firebase-Exploit
2. cd Insecure-Firebase-Exploit
3.Firebase-Write-Permission-Exploit.py
Karena disini link firebase yang saya dapat adalah https://s-usc1c-nss-240.firebaseio.com/ maka input pada tools ini menjadi seperti dibawah
Maka data yang kita input akan masuk ke dalam link berikut https://s-usc1c-nss-240.firebaseio.com/users/hacked.json
Kalian juga bisa mengcustom link atau data yang kalian masukkan dengan merubah source code pada file python tersebut, tidak sulit bahkan untuk orang awam sekalipun.
Preview
Impact
Kita dapat merubah data yang ada di dalam firebase membuat data baru yang nantinya dapat berakibat fatal pada aplikasi/fitur yang menggunakan firebase.
Patching
Gataw...