Yayaya saya setuju, ini bukan write up besar tapi mungkin bermanfaat bagi para bug hunter🗿
gua nemuin celah XSS dan Sql Injection di salah satu subdomain unair.ac.id
tentu aja ini critical alias fatal,
pertama gua itu merhatiin halaman dashboard ini kurang profesional, abis itu gua kasih payload kecil ‘
dan boom
ini adalah salah satu tampilan website vulnerability sql injection!
karena etika, saya gabisa eksploitasi lebih dalem lagi karena ini sudah cukup untuk membuktikan jika halaman ini terdapat celah sql injection.
ga berhenti disitu, aku penasaran ingin masukin payload xss dan ternyata
ini sudah kuduga karena memang dari awal sudah terdapat celah sql injection
ini termasuk dalam kategori A03:2021 – Injection
dan layak dilaporkan…
setelah difollow up akhirnya mendapat balasan dan sertifikat.
setelah itu web maintenance
terimakasih tim it unair karena cepat tanggap dan menghargai kami para bug hunter:3
thankyou!