Mengejar Sertifikat Kominfo Sumatera Selatan

Mengejar Sertifikat Kominfo Sumatera Selatan – Ini adalah write up saya tentang temuan bug SQL Injection pada subdomain situs Provinsi Sumatera Selatan. Karena dari awal saya memang menargetkan mendapat sertifikat dari Kominfo Provinsi Sumatera Selatan :p

Sebelum melanjutkan write up nya, silahkan baca Disclaimer terlebih dahulu. Apabila setuju dengan pernyataan yang tercantum disana, silahkan lanjut membaca 🙂

Bug Bounty di Situs Pemerintah?

Oke, sebelumnya saya jelaskan terlebih dahulu kalau developer dari situs target kali ini memang teman saya. Jadi ini murni sebagai langkah mengejar sertifikat membantu teman 😀

Singkat cerita ada salah satu teman menghubungi saya jika dia menemukan error di situs www.antihoax.sumselprov.go.id. Karena alasan tertentu, teman saya ini meminta bantuan saya untuk melakukan penetration testing pada situs yang diyakini vuln tersebut.

Inject point ada di form pencarian. Pada halaman (http://www.antihoax.sumselprov.go.id/index.php?md=ns&idv=2) terdapat form pencarian yang menggunakan method POST. Dari situ saya tangkap HTTP Header saat melakukan pencarian, hasilnya:

Sumatera Selatan

Terlihat disana situs tersebut menggunakan parameter cari= dengan value keyword pencarian yang diinputkan oleh user. Untuk mempersingkat waktu, saya menggunakan SQLMap untuk melakukan cek apakah situs tersebut memang vuln terhadap SQL Injection.

Untuk command dll silahkan lihat dibawah ini:

Dan ternyata situs tersebut memang vuln terhadap SQL Injection. Setelah mengintip data user untuk login, saya mencoba masuk ke dashboard admin agar lebih meyakinkan.

Sumatera Selatan
Tampilan Dashboard Admin Situs antihoax.sumselprov.go.id

Tanpa menunggu lama, saya melaporkan temuan ini ke teman saya yang memang bekerja di Provinsi Sumatera Selatan. Karena merupakan teman kami, proses pelaporan bug ini cukup cepat dan tentunya diutamakan (baca; Nepotisme, lol).

Atas temuan ini, kami berdua diberi reward berupa sertifikat dari Dinas Komunikasi dan Informasi Provinsi Sumatera Selatan 😀

Sumatera Selatan
Sumatera Selatan

Bug SQL Injection yang kami temukan selesai diperbaiki hanya dalam waktu satu malam. Dari sini saya semakin salut memiliki teman dengan totalitas tanpa batas dalam pekerjaannya di Kominfo Sumatera Selatan 😀

Timeline

  • Feb 09, 2019 08:54 PM | Mendapat chat dari Hermansyah yang menemukan error message pada situs antihoax.sumselprov.go.id.
  • Feb 09, 2019 09:00 PM | Melakukan penetration testing pada situs antihoax.sumselprov.go.id dan sukses masuk pada Dashboard Admin.
  • Feb 09, 2019 10:12 PM | Melaporkan temuan pada Developer.
  • Feb 10, 2019 07:42 AM | Bug dinyatakan valid dan selesai diperbaiki.
  • Feb 10, 2019 08:00 AM | Developer meminta data diri untuk reward.
  • Feb 10, 2019 10:51 AM | Kami diberi reward berupa sertifikat dari Dinas Komunikasi dan Informasi Provinsi Sumatera Selatan.

One thought on “Mengejar Sertifikat Kominfo Sumatera Selatan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *