Exploiting SQL Injection Vulnerability in Indonesia Government Website

Redlimit Pentest 5 - Exploiting SQL Injection Vulnerability in Indonesia Government Website

Halo teman-teman semua, sudah lama sekali tidak posting di blog ini. Kali ini saya mau sedikit cerita kepada teman-teman semua.

Akhir tahun 2023 ini saya mulai tertarik untuk belajar cyber security, khususnya di bagian read team dengan fokus ke web penetration testing. Sebagai seseorang yang sebelumnya pernah membuat berbagai proyek android ataupun web development, belajar penetration testing membuka cakrawala saya bahwa dalam membuat aplikasi android ataupun web yang dapat berjalan dengan semestinya tidaklah cukup, perlu keamanan yang harus diperhatikan dalam aplikasi tersebut agar sistem dan data dapat terjaga keamanannya dari pihak yang tidak bertanggung jawab.

Karena berfokus ke web penetration testing, saya juga mempelajari OWASP TOP 10, yaitu 10 kerentanan yang paling sering ditemukan di aplikasi web, salah satunya kerentanan SQL Injection. SQL injection merupakan suatu kerentanan dimana penyerang dapat menyisipkan perintah SQL pada website untuk memanipulasi data yang ada di website tersebut.

Ketika saya mengunjungi salah satu website Mal Pelayanan Publik yang merupakan website milik salah satu pemerintah, saya menemukan url yang berpotensi untuk dilakukan eksploitasi SQL Injection. Hal tersebut saya buktikan dengan menambahkan tanda petik ( ' ) diakhir url pada parameter web tersebut, sehingga url web tersebut menjadi seperti ini

https://mpp.redacted.go.id/news.php?id=10'

Voila... web yang sebelumnya menampilkan berita menjadi blank/eror.

 

Ini merupakan tanda bahwa web tersebut rentan terhadap serangan SQL Injection, kemudian saya coba untuk menambahkan perintah SQL kembali di url tersebut untuk menampilkan data dengan perintah seperti ini

https://mpp.redacted.go.id/news.php?id=10' or 1=1 --+

Benar saja, aplikasi tersebut kembali menampilkan datanya.

 

Tanpa pikir panjang, sayapun menggunakan SQL Map yang merupakan tool open source untuk melakukan eksploitasi SQL Injection yang sudah terinstall di Kali Linux. Adapun perintah untuk menjalankan SQL Map tersebut yaitu seperti ini

sqlmap -u "https://mpp.redacted.go.id/news.php?id=10" --random-agent --dbs

Taraaa... saya berhasil mendapatkan database dari sistem tersebut. 

 

Sayapun langsung melaporkan hal ini kepada CSIRT instansi tersebut agar segera menutup celah kerentanan SQL Injection agar tidak dieksploitasi oleh orang yang tidak bertanggung jawab. Sampai post ini dibuat, belum ada balasan sama sekali dari CSIRT instansi tersebut :)

Terima kasih sudah berkenan membaca sedikit cerita saya dalam menemukan dan melaporkan kerentanan web yang ada di salah satu website MPP milik pemerintah. See you in the next post!