KERENTANAN PADA:
https://event.lokerprogrammer.com/
1. event.lokerprogrammer.com
Bypass Admin
Bypass Admin merupakan teknik hacking yang dilakukan dengan cara
menginputkan perintah sql dimana system akan mengeksekusi menjadi query
dari user:pass administrator untuk masuk ke halaman admin panel. Jadi tanpa
mengetahui username dan passwordnya kita tetap akan bisa login menggunakan
teknik tersebut.
Saya menemukan celah pada form login pada website event loker programmer,
untuk mengeksekusinya saya memasukan payload seperti berikut untuk masuk
sebagai admin pada website tersebut.
Email: '=''or'@gmail.com
Password: admin
Dan saya berhasil masuk sebagai admin,
Refrensi:
http://www.securityidiots.com/Web-Pentest/SQL-Injection/bypass-login-using-
sql-injection.html
Impact:
Penyerang dapat melihat, menghapus, mengedit dan membuat event layaknya
seorang admin.
Video Exploitation:
https://drive.google.com/file/d/1vTatcWcy0vpgdxr0MkwL1xxqqay0z9lu/view?usp=sharing