LAPORAN

KERENTANAN PADA:
https://event.lokerprogrammer.com/

Oleh: Indra Wicaksono

https://www.linkedin.com/in/wicaksonoindra/
Ringkasan Kegiatan
Melakukan Infromation Gathering Terhadap website di bawah ini :

No. Website Keterangan Vulnerability

https://event.lokerprogrammer.com/
1

1. event.lokerprogrammer.com
Bypass Admin
Bypass Admin merupakan teknik hacking yang dilakukan dengan cara
menginputkan perintah sql dimana system akan mengeksekusi menjadi query
dari user:pass administrator untuk masuk ke halaman admin panel. Jadi tanpa
mengetahui username dan passwordnya kita tetap akan bisa login menggunakan
teknik tersebut.

Saya menemukan celah pada form login pada website event loker programmer,
untuk mengeksekusinya saya memasukan payload seperti berikut untuk masuk
sebagai admin pada website tersebut.
Email: '=''or'@gmail.com
Password: admin
Dan saya berhasil masuk sebagai admin,

Refrensi:
http://www.securityidiots.com/Web-Pentest/SQL-Injection/bypass-login-using-
sql-injection.html

Impact:
Penyerang dapat melihat, menghapus, mengedit dan membuat event layaknya
seorang admin.

Video Exploitation:
https://drive.google.com/file/d/1vTatcWcy0vpgdxr0MkwL1xxqqay0z9lu/view?usp=sharing