SQL Injection - penugasan.pmi.or.id [Fixed]

Halo,

Kali ini saya ingin menulis Write Up BUG SQL Injection di penugasan.pmi.or.id

BUG ini sudah di Perbaiki oleh Developer website pmi.or.id, setelah saya melaporkannya langsung melalui Whatsapp

Penemuan ini awalnya saya iseng-iseng mengunjungi website pmi.or.id, oh ya sebelumnya pada tahun 2019 saya menemukan BUG di pmer.pmi.or.id juga

Oke lanjut, ketika saya melakukan injeksi pada kolom username & password menampilkan you have an error sql syntax

Berikut request url dan post data yang saya dapatkan

Post data

Dan saya mencoba menginjeksinya secara manual, dan mendapatkan order by error di 27

Selanjutnya saya melakukan scan di SQL Map dengan command

sqlmap -u http://penugasan.pmi.or.id --data="username=23&password=23" --level=3 --risk=3 --dbs

Baru juga mulai scanning, sudah muncul tulisan connection was forcibly closed by the target url

Saya menambahkan command --proxy= agar bisa melanjutkan scanning nya memakai proxy

Berikut hasil dari scanning nya, saya mendapatkan 2 database nya

Dan database management system usernya

Dan beberapa tables di database nya

Dan beberapa columns di table nya

Beserta informasi sensitif lainnya seperti username & password

Timeline Report

• Mengirimkan laporan via Whatsapp Developer PMI Pusat

• BUG di Fixed & Meminta izin untuk membuat Write Up