Nama : Komang Mahendra

NIM : 2115091078

Kelas : 3C

➢ Indikasi Kerentanan:
Link Target : http://tokopakedy.byethost13.com/media.php?module=detailkategori&id=7

Link diatas merujuk pada halaman detail kategori barang yakni halaman yang menampilkan
jenis barang yang sesuai dengan kategorinya, pada link diatas menampilkan kategori laptop
baru, proses scanning dilakukan menggunakan tools Arachni dan ditemukan indikasi
kerentanan Blind SQL Injection (timing attack), hal tersebut karena persyaratan konten
dinamis dari aplikasi web saat ini banyak yang mengandalkan backend database untuk
menyimpan data yang akan dipanggil dan diproses oleh aplikasi web (atau program lain).
Aplikasi web mengambil data dari database dengan menggunakan kueri Structured Query
Language (SQL).

➢ Risiko Kerentanan:
Injeksi SQL terjadi ketika nilai yang berasal dari permintaan klien digunakan dalam kueri SQL
tanpa sanitasi sebelumnya. Ini dapat memungkinkan penjahat dunia maya untuk
mengeksekusi kode SQL sewenang-wenang dan mencuri data atau menggunakan
fungsionalitas tambahan dari server basis data untuk mengendalikan lebih banyak komponen
server. Eksploitasi yang berhasil dari injeksi SQL dapat mengakibatkan akses tidak sah ke data
sensitif, seperti kata sandi, detail kartu kredit, atau informasi pengguna pribadi. Banyak
pelanggaran data profil tinggi dalam beberapa tahun terakhir merupakan akibat dari serangan
injeksi SQL, yang menyebabkan kerusakan reputasi dan denda peraturan. Dalam beberapa
kasus, penyerang dapat memperoleh backdoor persisten ke dalam sistem organisasi, yang
mengarah ke kompromi jangka panjang yang dapat luput dari perhatian untuk waktu yang
lama.
➢ POC:
Scanning dilakukan menggunakan tools Arachni pada sistem operasi kali linux, berikut
Langkah Langkah bagaimana kerentanan tersebut dapat ditemukan :

1. Mulai dari install tools Arachni serta melakukan konfigurasi pada terminal kali linux

2. Login dan scan menggunakan GUI Arachni, link targer yang discan adalah
http://tokopakedy.byethost13.com/media.php?module=detailkategori&id=7

3. Hasil yang ditemukan setelah 43 menit scanning ditemukan 20 Kerentanan salah satunya
Blind SQL Injection (timing attack)
 Dijelaskan bahwa Injeksi ini terdeteksi karena Arachni dapat menyuntikkan kueri SQL
tertentu, yang jika rentan, mengakibatkan respons untuk setiap permintaan tertunda
sebelum dikirim oleh server. Ini dikenal sebagai kerentanan time-based blind SQL
injection.
4. Proses penyuntikan :

Dapat dilihat pembuktian adanya kerentanan Blind SQL Injection (timing attack)
dilakukan dengan melakukan injected seed, informasi lainnya juga diperlihatkan tentang
halaman yang terpengaruh serta halaman rujukannya.