Friday, August 2, 2019

BUGS aplikasi.denpasarkota.go.id

DOMAIN : http://aplikasi.denpasarkota.go.id:8086/sidasi/
BUGS : SQL Injection
TARGET : detailaplikasi.php
PARAMETER : id (GET DATA)

Dari celah yang berhasil ditemukan tersebut, diketahui pada server terdapat 72 database, yaitu sbb:

available databases [72]:                                                                                                  
[*] #mysql50#db?kir
[*] alibdb
[*] BankData



[*] belajar_ci
[*] btamu
[*] bukutamu
[*] bursakerja
[*] crudphpgrid
[*] db_absen
[*] db_bankdata
[*] db_damainternal
[*] db_damamaya
[*] db_dashboard
[*] db_dashboard_asli
[*] db_dcsr
[*] db_dcsr2
[*] db_dekranasda
[*] db_denpasarfood
[*] db_disnaker
[*] db_display
[*] db_info
[*] db_info_kop
[*] db_info_latihan
[*] db_kir
[*] db_koni
[*] db_kpa
[*] db_kunjungan
[*] db_miskin
[*] db_ormas
[*] db_pelatihan
[*] db_pemilu
[*] db_prodps
[*] db_publikasi
[*] db_rujukan
[*] db_simda
[*] db_spbe
[*] db_suara
[*] db_tnde
[*] dbjquery
[*] dbkoperasi
[*] DBTemp
[*] disnaker
[*] disnaker1
[*] disnaker2
[*] disnaker_coba
[*] eprocurement
[*] expo
[*] guestbook
[*] information_schema
[*] inventory
[*] kantaya
[*] kebudayaan
[*] kebudayaan1
[*] Koperasi
[*] KTP
[*] mad
[*] mysql
[*] pdam_info
[*] pemkot
[*] pemkot1
[*] pemkot_member
[*] perijinan
[*] Personal
[*] pilwali
[*] pustaka_digital
[*] QCpilkades
[*] sikdinas
[*] tatanaskah
[*] test
[*] testdisnaker
[*] umkmkoperasi
[*] vpopmail

----
Mengingat, banyaknya database yang tersedia pada server. Sehingga pencarian berlanjut terhadap beberapa aplikasi lainnya. Dan kemudian menghasilkan beberapa aplikasi lainnya yang juga berhasil ditembus (gambar terlampir).

Pada awalnya saya hanya memeriksa aplikasi SIDASI, akan tetapi seiring proses berlangsung ternyata aplikasi lainnya juga terdapat celah. --Sebagai contoh aplikasi http://infrastruktur.denpasarkota.go.id






----

LAPORAN: Dikirimkan melalui email kepada alamat kominfo@denpasarkota.go.id, prodenpasar@gmail.com pada 19 Juli 2019, 04:39 WIB.

BALASAN/RESPON: --

STATUS: --

No comments: