Sudah lama saya tidak menulis write up lagi yaa haha. Kali ini saya ingin menjelaskan bagaimana saya bisa menemukan BUG SQL Injection pada Subdomain indomaret.co.id
Awalnya saya menemukan suatu subdomain Penerimaan Faktur Indomaret. Jenis Vulnerability ini sangat critical, Sebab saya berhasil mendapatkan ratusan ribu data.
Berikut respons yang saya dapatkan ketika memasukkan single quote (‘)
Selanjutnya saya mengscan nya di jSQL, Dengan menggunakan Post Data yang saya dapatkan serta Request URL nya.
Dan ini list database nya
Dan ini ratusan ribu data datanya, Di salah satu database nya.
Dan ini informasi sensitif seperti username dan password adminnya
Timeline Report
- 27 Oktober 2019 = Send report via email kontak@indomaret.co.id
Sekian write up dari saya ini, Mohon maaf apabila ada salah penulisan kata, jangan lupa untuk di share yaa :D
Contact me at About for About me