Home » Uncategories » SQL injection vulnerability in WHERE clause allowing retrieval of hidden data APPRENTICE

SQL injection vulnerability in WHERE clause allowing retrieval of hidden data APPRENTICE

Edit

 Hallo semuanya saya di sini ingin menyelesaikan tantangan PORTSWIGGER yang berjudul "SQL injection vulnerability in WHERE clause allowing retrieval of hidden data APPRENTICE"


SQL (Structured Query Language) adalah bahasa pemrograman khusus yang digunakan untuk mengelola dan mengakses database. Ini digunakan untuk melakukan berbagai operasi seperti menyimpan, mengambil, mengubah, dan menghapus data dari database.


oke sekarang kita pecahkan tantangan tersebut:



pertama kita klik akses lab pada tantangan tersebut dan membuka web yaitu yang terlihat seperti web e-commerce yang nantinya akan kita pecahkan tantangan tersebut di sini, lalu setelah itu kita amati web tersebut dengan baik,setelah itu cek satu persatu halaman nya :



dan kita amati web nya, dan menemukan kejanggalan pada parameter tersebut, kenapa saya merasa janggal? karna rata rata yang saya temukan bug sql terdapat pada parameter web trsebut seperti ini:

terdapat parameter tersebut seru untuk kita testing yah😋,okeee setelah itu kita akan membuka burp suite untuk mengedit parameter tersebut :

sudah saya buka burp suite nya, kenapa saya memakai burp suite untuk alat testing saya? karena Burp Suite adalah alat yang digunakan untuk pengujian keamanan aplikasi web. Dikembangkan oleh PortSwigger, Burp Suite menyediakan berbagai fitur yang membantu pen tester dan profesional keamanan dalam menemukan dan mengatasi kerentanan dalam aplikasi web, setelah itu saya akan intercept is on agar scanning web yang tadi saya buka:


setelah itu klik kanan untuk send to repeater untuk mengedit parameter yang kita curigai tadidan setelah itu modifikasi parameter category=Gifts dan tambahkakan '+OR+1=1-- , itu adlaah basic sql injection kita tambahkan di parameter dan kita lihat:

dan di sini tampak nya berhasil kita injeksi ke dalam parameter dan berhasil me modifikasi dan saat kita cek web yg kita injeksi :


dan yapppp tantangan ini berhasil saya pecahkan dan saya bisa memecahkan tantangan ini, jadi kesimpulan nya gini :

URL dengan parameter `category=Gifts` rentan terhadap SQL Injection, yang memungkinkan penyerang mengeksploitasi aplikasi dengan menyisipkan perintah SQL seperti `'+OR+1=1--`, mengakibatkan akses tidak sah ke data.

1. Parameterisasi Query: Gunakan prepared statements untuk mencegah injeksi SQL.

2. Validasi Input: Sanitasi semua input pengguna untuk memastikan hanya nilai yang sah.

3. Gunakan ORM: Implementasikan ORM yang otomatis menangani sanitasi input.

4. Whitelisting: Terapkan daftar putih untuk membatasi input yang diterima.

5. Monitoring dan Logging: Implementasikan logging untuk mendeteksi permintaan mencurigakan.

6. Penetration Testing: Lakukan pengujian keamanan secara rutin untuk mengidentifikasi kerentanan.


dan semua nya selesai tantangan yang saya kerjakan tadi

Terimakasih

-Khalid

Subscribe to receive free email updates:

0 Response to "SQL injection vulnerability in WHERE clause allowing retrieval of hidden data APPRENTICE"

Posting Komentar

Langganan: Posting Komentar (Atom)