SIH3-BMKG SQL Injection Vulnerability

Daftar Isi [Tutup]
    Hallo sobat kali ini saya akan memberikan bocoran bug yang terdapat pada subdomain BMKG, Bug ini terdapat pada subdomain SIH3 BMKG (System Information Hidrology Hidrometeorolgy & Hidrogeology). Bug ini sendiri adalah SQL Injection yang dimana attacker menggunakan celah tersebut dengan cara memasukkan query dari SQL.

    Baik jika kita dapat menambahkan string (') di akhir url:
    http://sih3.bmkg.go.id/artikel/detail/hidrogeologi/air-tanah' di sini adalah lokasi bug-nya.
    Dan muncul message:
    SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''air-tanah'') LIMIT 1' at line 1.

    Lalu saya melanjutkan inject dan benar saja, Berikut saya mendapatkan databasenya & username serta password admin webnya.

    Bug Issues: https://cxsecurity.com/issue/WLB-2018080223
    Oke mungkin cukup sampai disini Bug Report kali ini, Dan Bug ini sudah saya laporkan kepada pihak terkait.

    0 Response to "SIH3-BMKG SQL Injection Vulnerability"

    Post a Comment