SQL Injection - *.pmi.or.id

June 10, 2019

Halo semuanya


Saya menemukan BUG SQL Injection pada subdomain website Palang Merah Indonesia atau PMI
Yang dimana website tersebut menampilkan data data ****** layanan PMI yang ada di seluruh indonesia. Saya berpikir untuk mencari request URL nya, atau mencari get data nya yang di tampilkan di homepage

Saya mencoba untuk mencari request URL nya menggunakan live http header di mozilla firefox, ini yang saya dapatkan


Respons ketika saya mengakses request urlnya adalah sebagai berikut


Ketika saya membuka request url nya, menampilkan list data data normal. Ketika saya memberikan single quote ( ‘ ) pada angka 2018, respons nya adalah error


Respons nya adalah

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘’ )

Langkah saya semakin yakin bahwa vulnerable terhadapat SQLI. Selanjutnya saya melakukan scan di sqlmap dengan command

sqlmap.py -u “https://*****.pmi.or.id/site/data-nasional?tahun=2018’&semester=0&skema=benef“ --dbs

Hasil dari scannya adalah saya mendapatkan 9 Database nya


Beserta informasi sensitif seperti username dan password


Timeline Report

  • 10 Juni, 2019 = Mengirimkan laporan ke email info@pmi.or.id & hrd@pmi.or.id (no respons)

  • 12 Juni, 2019 = Mendapatkan sebuah pesan dari email developer website pmi.or.id + BUG di patch


RSS