SQL-Injection On Chatime Mobile Application

Chatime SQL-i

Chatime SQL-Injection – Halo, mungkin akhir akhir ini Graylife udah jarang banget update karna adminnya rada di sibukin dengan kegiatan sekolah hehe, dan kali ini ada temen mimin sendiri yang mau nitip sebuah artikel tentang SQLI-injection on Mobile Apps, tertarik ? simak.

di suatu hari saat saya sedang berjalan jalan di suatu mall, saya melihat banner dari aplikasi chatime langsung terbesit di pikiran saya untuk mencoba melakukan pentest pada aplikasi mobile Chatime, langsung saja saya pulang ke rumah dan langsung melakukan pentest.

Saya mencoba pentest di bagian register as special member, dengan menggunakan Burpsuite untuk mengambil request data yang dikirimkan.


Dan disana terdapat POST data request seperti ini

{ "card_number": "123123123123123","dob": "1581866414"}

lalu saya mencoba merubah di bagian card_number menjadi

{ "card_number": "'","dob": "1581866414"}

Dan benar saja, disini saya langsung menemukan error message yang merupakan missconfiguration seperti berikut :

Chatime Inject Point

Dalam hati saya berkata “yah hanya missconfiguration“, tetapi tanpa patah semangat saya langsung mencoba sql injection dengan menggunakan sqlmap,
Saya masukan request post data ke dalam file “chatime” dan langsung saya eksekusi menggunakan SQLMAP.

saya langsung mencoba print database dengan command

sqlmap.py -r chatime --dbs

BOOM !

Meskipun bug ini cukup fatal, tetapi sangat di sayangkan saya tidak menerima sepeser pun rasa terima kasih dalam bentuk ucapan atau yang lainnya, tetapi saya cukup bangga dengan temuan saya kali ini, terima kasih ! Stay Weird !

  • Facebook : https://facebook.com/dziu69

Leave a Reply

Your email address will not be published. Required fields are marked *

Up Next:

Bug Hunting - #1 reconnaissance target

Bug Hunting - #1 reconnaissance target