POC SQL Inject with Bypas IP Spoofing

 Sql inject meurpakan teknik serangan Owasp Top 10 Threats yang menguji form input pengguna untuk mencari celah keamanan dari database, dalam artikel kali ini saya akan membagikan POC mengenai serangan sql inject dengan teknik IP spoofing. Ip Spoofing adalah metode dimana attacker akan berpura-pura sebagai Host atau localhost atau client resmi target.

Sebelumnya, saya mencoba Reconnaissance atau mengumpulkan data baik dari mencari celah form yang dapat dimodifikasi beberapa form seperti.

• Parameter url id=1
• Input Form pencarian
• Input Form nama, email
• Login page & Register

Namun dalam uji coba serangan ini, saya menemukan request yang didapat dari burpsuite yang menjadi celah pertama yang potensial. yaitu pada path yang mengarah ke url /sid/invoice dengan mode request POST, berikut penampakannya.

Jika kita perhatikan, terdapat parameter idtransaksi= paramater ini yang akan saya uji coba. saya mencoba beberapa metode sql inject Error based & union based namun semua gagal karena sistem rupanya memiliki fitur Hidden untuk status error. akan tetapi setelah saya mencoba dengan Teknik IP Spoofing yaitu berpura-pura menjadi localhost atau client mereka.

Client-Ip: 127.0.0.1 &  X-Proxyuser-Ip: 127.0.0.1 & idtransaksi=1' 

dengan kata lain, Request yang saya kirimkan akan dianggap permintaan dari sistem mereka dan boom saya mendapatkan Error database yang terbuka.

Saya telah melaporkan temuan ini kepada pihak yang bersangkutan, dan saya membagikan POC ini hanya untuk tujuan edukasi pentingnya mengimplementasikan keamanan pada situs web dengan baik.