Information disclosure on debug page

Laboratorio de Portswigger sobre Information Disclosure

Publicado 03/12/2024 Actualizado 04/11/2025

Por Justice-Reaper

1 min de lectura

Information disclosure on debug page

Certificaciones

eWPT
eWPTXv2
OSWE
BSCP

Descripción

Este laboratorio contiene una página de depuración que revela información sensible sobre la aplicación. Para resolver el laboratorio, obtén y envía la variable de entorno SECRET_KEY

Guía de information disclosure

Antes de completar este laboratorio es recomendable leerse esta guía de information disclosure https://justice-reaper.github.io/posts/Information-Disclosure-Guide/

Resolución

Al acceder a la web nos sale esto

Nos dirigimos a Burpsuite, pulsamos en Target > Site map, señalamos el dominio a analizar y hacemos click izquierdo > Engagement tools > Find comments para analizar los comentarios del sitio web

Si ahora accedemos a https://0a2800c704ee6a18815dc1a500c3003e.web-security-academy.net/cgi-bin/phpinfo.php nos mostrará un phpinfo en el cual se encuentra la variable de entorno SECRET_KEY

Submiteamos la SECRET_KEY

Portswigger Labs, Information Disclosure

Esta entrada está licenciada bajo CC BY 4.0 por el autor.