Saya punya seorang teman luar biasa yang memiliki sebuah startup, salah satunya adalah sebuah Web Blog dimana orang-orang bisa mengirimkan karya tulisnya yang kemudian akan diposting pada blog tersebut.
Karena penasaran dan bosan, suatu hari saya tertarik untuk melakukan penetration testing, tentunya bukan dengan niat jahat, saya cuma ingin tahu sekaligus belajar.
Web blog tersebut sebenarnya cukup sederhana, fitur-fiturnya tidak begitu banyak, karena memang tujuannya hanyalah menampung kiriman-kiriman tulisan dari pengguna. Tapi karena hal tersebut, scope yang bisa saya tes pun jadi tidak begitu banyak. Saya terutama tertarik pada fitur search artikel.
Setelah sekian waktu mencari XSS dan tidak menemukan satupun, saya kemudian memutuskan untuk mencari celah SQL Injection. Menggunakan SQLMAP, saya kemudian mengetes fitur pencarian artikel dari blog tersebut. Sambil menunggu scanning selesai, saya baca-baca report-report dari professional-professional security researcher, siapa tahu saya bisa menemukan bug baru.
Scanning selesai, dan Voila! Ternyata web blog tersebut vulnerable dengan Time-Based Blind SQL Injection. Saya kemudian melanjutkan dengan melakukan scan table yang ada pada database, dan menemukan beberapa table seperti user, artikel, event, dsb.
Saya melakukan dumping satu-persatu dari table-table tersebut, dan parahnya, pada tabel user, kolom password tidak di encrypt sama sekali, alias plain text, bisa dibaca secara kasat mata, ckckck.
Sayangnya, saya belum menemukan halaman login dari web blog tersebut. Ingin melakukan scanning dengan dirbuster, takut servernya down, nanti saya merugikan pemiliknya, jadi pentesting saya hentikan sampai disini.
Timeline :
11 Mei 2019 - Vulnerability belum saya laporkan, karena takut dimarahi atau dituntut karena melakukan pentesting secara ilegal tanpa izin, wkwk. Apalagi saya lupa tidak menggunakan VPN, mungkin nanti akan saya laporkan secara anonim ketika log IP punya saya sudah tidak begitu mencurigakan dan diperhatikan.
Gambar menyusul.
SQL Injection pada fitur search ak*****.com
4/
5
Oleh
Snowking
