Halo, kali ini saya ingin membagikan write up SQL Injection di migrationdev.dominos.id

Reward dari penemuan ini adalah saya mendapatkan Hall Of Fame di dominos.responsibledisclosure.com (Dandy Rafliansyah)

Sebelumnya saya sudah mendapatkan Hall of Fame pada tahun 2021, artikel write up dapat dilihat di https://rafterday.net/sql-injection-dominos/

Saya mendapatkan domain dominos.id melalui email, selanjutnya saya buka domain dominos.id nya dan ternyata tidak bisa diakses, lalu saya melakukan cek di whois dan ingin melihat mengarah kemana nameserver dari domain dominos.id.

lalu saya melakukan scanning subdomain dengan menggunakan tools dnscan

Dan mendapatkan subdomain migrationdev.dominos.id, selanjutnya saya melakukan intercept pada webnya, dan saya mendapatkan request URL dengan method GET yaitu di https://migrationdev.dominos.id/infdominos/ajax/setcrustimage?crust_pizza=24

Selanjutnya saya melakukan scanning di sqlmap dengan command

sqlmap.py -u "https://migrationdev.dominos.id/infdominos/ajax/setcrustimage?crust_pizza=24" --level=3 --risk=3 --dbs --threads 10

Hasil dari scanning di sqlmap adalah saya berhasil mendapatkan 1 database dominos

Timeline Report

  • 06 Desember membuat laporan di dominos.responsibledisclosure.com

  • 08 Desember temuan dinyatakan valid, dan dalam proses diteruskan ke pihak Domino’s Pizza Indonesia

  • 14 Desember temuan sudah diperbaiki, dan disuruh untuk melakukan cek lagi apakah sudah diperbaiki atau belum

  • 15 Desember meminta informasi Nama Lengkap dan Linkedin atau Twitter untuk dimasukkan ke list Hall of Fame