Ce laboratoire contient une page de débogage qui divulgue des informations sensibles sur l’application.
L’objectif est d’identifier et de soumettre la variable d’environnement SECRET_KEY.
Observation initiale
En interceptant les requêtes HTTP, on constate l’envoi d’une requête GET contenant un paramètre lié à une socket key.
Cela indique la présence de mécanismes de débogage ou de diagnostic exposés.
Analyse avec Burp Suite
En explorant le Site Map de Burp Suite, une page sensible est identifiée.
Une page phpinfo est accessible, ce qui constitue une fuite d’informations critique.
Ressource vulnérable
Chemin identifié :
Cette page affiche la configuration complète de PHP, y compris les variables d’environnement.
Donnée sensible divulguée
Sur la page phpinfo.php, la variable suivante est exposée :
