Mendapatkan Tiket Gratis Synchronize Fest 2024
Mendapatkan Tiket Gratis Synchronize Fest 2024 - Berawal dari lewatnya informasi tiket Synchronize Fest 2024 (selanjutnya akan disebut Synchronize aja biar ga kepanjangan) di timeline, saya penasaran siapa aja lineup yang akan tampil, yang jelas ada SID sih, jadi udah pasti bakal beli juga, hehe. Tapi, ketika saya cek ke situsnya, ada hal yang menarik perhatian. Di sinilah ide gajelas mulai muncul.
Ada beberapa rencana yang udah kebayang, utamanya cuma soal ngedapetin tiket, hehe.
Dari hasil information gathering, diketahui situs Synchronize menggunakan CodeIgniter dengan beberapa fitur yang punya proses di belakang layar seperti login, pembelian tiket, dan lainnya.
SQL Injection Situs Synchronize
Di halaman depan situsnya ada informasi kalau ada free ticket yang bisa kita dapet dengan cara tertentu. Caranya tinggal cek langsung ke situsnya aja.
Di halaman tersebut terdapat form untuk validasi kode voucher yang kita punya. Iseng saya input karakter acak dan single quote di form tersebut, error yang muncul berbeda.
normal error
500 internal server error
Setelah mendapatkan error yg berbeda, saya merasa sudah menemukan inject point untuk melakukan SQL Injection. Untuk mempercepat waktu, saya menggunakan SQLMap untuk memastikan apakah url tersebut memang vuln.
Dan setelah menunggu beberapa waktu untuk SQLMap melakukan tugasnya, ternyata url tersebut vuln terhadap SQL Injection.
Saya melanjutkan sedikit untuk memastikan apakah admin bisa melakukan generate tiket atau apakah tiket tersimpan di database yang sama, dengan niat ingin mendapatkan impact penyerang bisa membuat tiketnya sendiri.
Saya memeriksa table tiket, datanya cukup lengkap. Kredensial admin, juga lengkap. Namun saya berpikir tidak seharusnya menampilkan screenshot di sini. Dari hasil yang sudah didapat, seharusnya bisa dilakukan login lalu membuat tiket gratis saya sendiri.
Karena sudah puas dengan validnya temuan ini, saya melaporkan temuan ini melalui email yang tercantum di situs Synchronize lalu diarahkan untuk menghubungi tim IT.
Daaan singkat cerita, niat awal dapat tiket gratis hasil generate sendiri, sekarang saya dapat tiket gratis hasil lapor finding, hehe.
Penutup
Temuan ini sudah diperbaiki oleh tim Synchronize dan tulisan ini sudah atas izin pihak Synchronize & Tim IT. Sekian tulisan singkat tentang Mendapatkan Tiket Gratis Tiket Synchronize Fest 2024, sampai jumpa pada tulisan selanjutnya.