July 10, 2026
Analisis Information Disclosure akibat Improper Error Handling pada Aplikasi Web
Pendahuluan

By MUHAMMAD RAIHANAFI
1 min read
Pendahuluan
Jadi di sini saya lagi iseng testing salah satu website instansi daerah di Yogyakarta, dan nemu hal yang cukup menarik. Awalnya cuma coba-coba input di fitur pencarian, tapi ternyata respon dari servernya malah ngasih info yang seharusnya nggak ditampilkan ke user.
Dari situ saya sadar ini bukan error biasa, tapi masuk ke Information Disclosure.
Jenis Kerentanan
- Information Disclosure
- Improper Error Handling
- Security Misconfiguration
Deskripsi Kerentanan
Masalahnya ada di bagian error handling. Jadi ketika input tertentu dimasukin, sistem malah nampilin error yang cukup detail.
Yang bikin menarik, di dalam error itu ada path internal server, contohnya kayak:
Warning: file(/var/www/html/plugins/system/../../administrator/components/com_cgsecure/backup/latest_ips.txt): failed to open stream…
Warning: Invalid argument supplied for foreach()…
/var/www/html/[redacted]
/administrator/components/[redacted]
/var/www/html/plugins/system/...
/administrator/components/com_cgsecure/...
/libraries/ cgsecure/ ipcheck.php/var/www/html/[redacted]
/administrator/components/[redacted]
/var/www/html/plugins/system/...
/administrator/components/com_cgsecure/...
/libraries/ cgsecure/ ipcheck.phpNah dari sini sebenarnya udah keliatan kalau struktur dalam servernya bisa ketebak. Harusnya info kayak gini nggak boleh muncul ke user biasa.Nah dari sini sebenarnya udah keliatan kalau struktur dalam servernya bisa ketebak. Harusnya info kayak gini nggak boleh muncul ke user biasa.Proof of Concept (PoC)
Cara reproduksi (versi simpel)
- Buka halaman search
- Masukin input yang agak "aneh"
- Langsung muncul error
Payload yang dicoba:
">>>>>><marquee>RXSS</marquee></head><abc></script><script>alert('test')</script><meta">>>>>><marquee>RXSS</marquee></head><abc></script><script>alert('test')</script><metaHasilnya:
- Muncul warning/error dari server
- Path internal ikut ke-expose
- Struktur direktori bisa kebaca
Dampak (Impact)
Walaupun keliatannya cuma error, tapi dampaknya lumayan:
- Bisa ngebocorin struktur server
- Ngebantu attacker buat tahap recon
- Bisa jadi pintu masuk buat exploit lain
Rekomendasi
Menurut saya, ini bisa dicegah dengan hal basic tapi penting:
- Matiin error detail di production
- Pakai custom error page
- Validasi input lebih ketat
- Jangan sampai path internal ikut ke tampil
Insight Pribadi
Dari sini saya belajar kalo kadang bukan bug "wah" yang bahaya, tapi hal kecil kayak error handling yang diabaikan.
Padahal ini bisa jadi langkah awal buat exploit yang lebih dalam.
Penutup
Temuan ini udah saya laporin ke pihak CSIRT terkait lewat responsible disclosure, dan alhamdulillah dapet respon + apresiasi.
Semoga ke depan sistemnya bisa lebih aman, dan ini juga jadi pengalaman berharga buat saya pribadi.