Open in app

Sign in

Write

Sign in

Sensitive Data Exposure: Inspect Element berujung Inject MongoDB atlas Via Realm

Aminudin
2 min readMar 19, 2023

--

Sensitive Data Exposure vulnerabilities can occur when a web application does not adequately protect sensitive information from being disclosed to attackers. This can include information such as credit card data, medical history, session tokens, or other authentication credentials. ~ Port Swigger

Halo semuanya,

Kembali lagi dengan saya disini, disini saya akan membahas bagaimana cara saya bisa mendapatkan credential MongoDB Realm dan pada sebuah nft marketplace lagi. Dengan credential tersebut saya bisa mengubah data profile user.

Apa itu mongodb realm ?

MongoDB Realm is basically the cloud application synchronization piece the connects a MongoDB Atlas database to client side realm data. The schema provides the mapping between these two entities. MongoDB Realm also provides an application with a universe of users who can access this cloud data. ~ mbah google

Ok langsung saja saya berubah ke mode hacker inspect element

Untuk hal pertama yang saya lakukan tentunya adalah Inspect Element dan menuju ke tab sources dan boom, ternyata disini scriptnya tidak terminify atau ter encrypt jadinya gampang untuk dilihat lihat :

Dan seperti yang kalian liat, disini ada yang langsung menyita perhatian saya, yaitu ada folder bernama db. Dan langsung saja kita buka dan boom!

Tidak membutuhkan waktu lama langsung saya ubek ubek bagaimana cara mongodb realm ini bekerja dan buat script simple seperti dibawah ini

Dan boom! saya bisa mengubah email dari user tersebut

Timeline :

~ 22 July 2022 : Bug Reported

~ now : No Response

Bugbounty Writeup
Bug Bounty
Bugs

--

--

Aminudin
Aminudin

Written by Aminudin

195 Followers
12 Following

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams