🕵️ Comprehensive Security Audit Report: CheckProof Ecosystem

Pentester: _xzens

Target Domains: checkproof.com, admin.checkproof.com, api.checkproof.com, app.checkproof.com

Date: 25 February 2026 until 7 March 2026

1. Executive Summary

Laporan ini mendokumentasikan serangkaian pengujian keamanan (Vulnerability Assessment) yang dilakukan pada infrastruktur digital CheckProof, sebuah platform manajemen aset industri. Investigasi mencakup analisis metadata, pengujian stabilitas server, dan audit pustaka pihak ketiga.

Ditemukan beberapa celah keamanan kritis yang jika digabungkan (chained vulnerabilities), dapat menyebabkan kebocoran data sensitif dan pengambilalihan akun administratif (Account Takeover).

2. Phase 1: Passive Reconnaissance & Information Disclosure

Fase pertama melibatkan teknik pengintaian pasif pada source code halaman depan aplikasi administratif.

2.1. Ember.js Environment Leakage

Aplikasi menggunakan framework Ember.js yang secara default menyimpan konfigurasi di dalam tag <meta>. Ditemukan bahwa pengembang menyertakan kredensial rahasia dalam konfigurasi publik ini.

• Vulnerability: Unintended Information Exposure.
• Location: https://admin.checkproof.com/dashboard, request via Burpsuite
• Data Extracted (Redacted):

• OAuth Client ID: 2
• OAuth Client Secret: Y4FjXzWh************************7XL (CRITICAL)

Tab networks di halaman app.checkproof.com

• Google Maps API Key: AIzaSyB************************-2X0 (Ditemukan juga pada app.checkproof.com dengan melakukan inspect pada tab networks)
• Azure Client ID: 9f3b8c12-************************-8a9d
• Pusher Key: 84f************************f12

ClientID, API Key, Pusher Key, dan lainnya banyak terekspos ketika berusaha melakukan request ke admin.checkproof.com/dashboard menggunakan BurpSuite

2.2. Infrastructure Mapping

Berdasarkan data meta tag, berhasil diidentifikasi jalur komunikasi internal antara frontend dan backend:

• Production API: https://api.checkproof.com