Halo…
Setelah mendapatkan sertifikat apresiasi dari kompas.com karena telah melaporkan vulnerability git disclosure, saya melaporkan lagi temuan SQL Injection di salah satu subdomain kompas.com hehe
Saya mendapatkan sebuah request yang telah saya intercept menggunakan burpsuite, berikut request nya 
Berikut respons nya ketika saya melakukan resend request 
Selanjutnya saya melakukan injeksi dengan menggunakan single quote pada parameter Field Berikut responsnya 
Respons menunjukkan 500 Internal Server, saya beranggapan bahwa ini vulnerable terhadap SQL Injection. mengapa? karena ketika saya menginjeksi di parameter lain, responsnya bukan 500 Internal Server Error.
Untuk mempersingkat waktu, karena ada kerjaan yang harus kerjakan di tempat bekerja saya, maka dari itu saya melakukan scanning di Sqlmap
Berikut hasil scanning di Sqlmap 
Mendapatkan 163 Database hehe. Maaf itu adalah log hasil scanning di sqlmap. kalau melakukan scanning lagi tidak bisa, karena BUG sudah di perbaiki :D
- Melaporkan ke General Manager Tech at Kompas.com pada tanggal 03 Januari 2023
- Mendapatkan balasan email di tanggal 04 Januari 2023, dan BUG di patch di hari itu juga. wahh sangat cepat sekali ya hehe :D
- Mendapatkan Sertifikat Apresiasi dari GM Tech at kompas.com
