Halo semuanya

Saya menemukan BUG SQL Injection pada subdomain website Palang Merah Indonesia atau PMI Yang dimana website tersebut menampilkan data data ** layanan PMI yang ada di seluruh indonesia. Saya berpikir untuk mencari request URL nya, atau mencari get data nya yang di tampilkan di homepage

Saya mencoba untuk mencari request URL nya menggunakan live http header di mozilla firefox, ini yang saya dapatkan

Respons ketika saya mengakses request urlnya adalah sebagai berikut

Ketika saya membuka request url nya, menampilkan list data data normal. Ketika saya memberikan single quote ( ‘ ) pada angka 2018, respons nya adalah error

Respons nya adalah

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘’ )

Langkah saya semakin yakin bahwa vulnerable terhadapat SQLI. Selanjutnya saya melakukan scan di sqlmap dengan command

sqlmap.py -u “https://*****.pmi.or.id/site/data-nasional?tahun=2018’&semester=0&skema=benef“ --dbs

Hasil dari scannya adalah saya mendapatkan 9 Database nya

Beserta informasi sensitif seperti username dan password

Timeline Report

• 10 Juni, 2019 = Mengirimkan laporan ke email info@pmi.or.id & hrd@pmi.or.id (no respons)

• 12 Juni, 2019 = Mendapatkan sebuah pesan dari email developer website pmi.or.id + BUG di patch