SIH3-BMKG SQL Injection Vulnerability - Pixel-Code

SIH3-BMKG SQL Injection Vulnerability

Hallo sobat kali ini saya akan memberikan bocoran bug yang terdapat pada subdomain BMKG, Bug ini terdapat pada subdomain SIH3 BMKG (System Information Hidrology Hidrometeorolgy & Hidrogeology). Bug ini sendiri adalah SQL Injection yang dimana attacker menggunakan celah tersebut dengan cara memasukkan query dari SQL.

Baik jika kita dapat menambahkan string (') di akhir url:
http://sih3.bmkg.go.id/artikel/detail/hidrogeologi/air-tanah' di sini adalah lokasi bug-nya.
Dan muncul message:
SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''air-tanah'') LIMIT 1' at line 1.

Lalu saya melanjutkan inject dan benar saja, Berikut saya mendapatkan databasenya & username serta password admin webnya.

Bug Issues: https://cxsecurity.com/issue/WLB-2018080223
Oke mungkin cukup sampai disini Bug Report kali ini, Dan Bug ini sudah saya laporkan kepada pihak terkait.

0 Response to "SIH3-BMKG SQL Injection Vulnerability"

Post a Comment