Information disclosure in error messages

Laboratorio de Portswigger sobre Information Disclosure

Publicado 03/12/2024 Actualizado 04/11/2025

Por Justice-Reaper

1 min de lectura

Information disclosure in error messages

Certificaciones

eWPT
eWPTXv2
OSWE
BSCP

Descripción

Los mensajes de error detallados de este laboratorio revelan que está utilizando una versión vulnerable de un framework de terceros. Para resolver el laboratorio, obtén y envía el número de versión de este framework

Guía de information disclosure

Antes de completar este laboratorio es recomendable leerse esta guía de information disclosure https://justice-reaper.github.io/posts/Information-Disclosure-Guide/

Resolución

Al acceder a la web nos sale esto

Pulsamos en View details y vemos un producto

La url nos lleva a https://0a5a00060335b9418411e62000ee00b2.web-security-academy.net/product?productId=1, pero si accedemos a un producto inexistente como https://0a5a00060335b9418411e62000ee00b2.web-security-academy.net/product?productId=test provocaremos un error desvelando la versión y el framework en uso Apache Struts 2 2.3.31

Submiteamos el framework y su versión

Portswigger Labs, Information Disclosure

Esta entrada está licenciada bajo CC BY 4.0 por el autor.