» » SQL injection vulnerability allowing login bypass

SQL injection vulnerability allowing login bypass

Edit
Hallo semuanya saya di sini ingin menyelesaikan tantangan PORTSWIGGER yang berjudul "SQL INJECTION VULNERABILITY ALLOWING LOGIN BYPASS"


SQL (Structured Query Language) adalah bahasa pemrograman khusus yang digunakan untuk mengelola dan mengakses database. Ini digunakan untuk melakukan berbagai operasi seperti menyimpan, mengambil, mengubah, dan menghapus data dari database.

oke sekarang kita pecahkan tantangan tersebut:



Pertama kita akses lab pada tantangan yang tersedia pada portswigger lalu kita di arahkan ke lab yang pantas untuk kita testing yahhh 😋. Oke gaperlu lama lama karna saya mengetahui kerentanan ini tersedia pada bagian form login , langsung aja kita cobain . Gazzzz :


Dari gambar yang pertama di paling atas tadi kita pilih "klik" pada bagian "my account", lalu setelah itu langsung di arahkan pada bagian form login yg akan kita coba coba dahulu guys, dan saya mencari banyak sekali payload seperti di bawah ini: 



terlihat banyak sekali payload SQL INJECTION nya,yang bisa di pakai oleh semua orang , kita di suruh untuk bypass administrator, dari sebanyak itu saya memilih "admin' or 1=1--" karna lebih spesifik terhdap bypass yang akan kita lakukan ,btw payload SQL INJECTION akan saya berikan di akhir dokumentasi ini , lalu saya akan memasukan payload nya ke dalam username dan password :


Setelah kita klik login dan akhirnya payload SQL INJECTION yang kita isi ke dalam username dan password berhasil:


Dan terlihat bahwa kita berhasil bypass login form yg di sediakan oleh PORTSWIGGER, jadi kesimpulan nya gini :

Dampak SQL Injection Login Bypass

  1. Akses Tidak Sah: Penyerang dapat masuk tanpa kredensial.
  2. Pencurian Identitas: Data pribadi pengguna dapat dicuri.
  3. Kerusakan Reputasi: Dapat merusak kepercayaan publik.
  4. Dampak Hukum: Berpotensi menimbulkan masalah hukum.
  5. Penyalahgunaan Layanan: Sistem dapat disalahgunakan untuk serangan lebih lanjut.

Cara Mengatasi

  1. Parameterisasi Query: Gunakan prepared statements untuk query database.
  2. Validasi Input: Sanitasi dan validasi semua input pengguna.
  3. Penggunaan ORM: Manfaatkan Object-Relational Mapping untuk keamanan.
  4. Tingkatkan Pengamanan Database: Batasi akses dan gunakan firewall.
  5. Audit dan Penetration Testing: Lakukan pemeriksaan keamanan secara berkala.
  6. Logging dan Monitoring: Deteksi aktivitas mencurigakan dengan sistem logging.
  7. Pendidikan dan Pelatihan: Berikan pelatihan keamanan kepada pengembang.

 payload SQL INJECT : https://github.com/payloadbox/sql-injection-payload-list

Terimakasih
-Khalid

Subscribe to receive free email updates:

0 Response to "SQL injection vulnerability allowing login bypass"

Posting Komentar

Langganan: Posting Komentar (Atom)