Input Validation Issues [Part-1]

Input validation issues merupakan salah satu kerentanan yang terjadi pada saat aplikasi atau sistem gagal untuk melakukan validasi dan sanitasi inputan pengguna sebelum melakukan pemprosesan data tersebut. Hasilnya, penyerang akan dapat melakukan pengiriman inputan yang tidak valid yang dapat menyebabkan banyak hal dalam segi keamanan seperti SQL injection, remote code execution (RCE) atau lainnya.

Dari hasil melakukan static analysis, didapati informasi bahwa sistem tidak melakukan proses sanitasi dan validasi inputan pada salah satu fitur yang ada dan juga fitur tersebut memanggil function SQL untuk melakukan pemprosesan data inputan tersebut. Inputan pengguna pada fitur pencarian, akan langsung disimpan pada statement SQL. Untuk detailnya, dapat dilihat pada gambar dibawah ini.

Dari informasi diatas, didapati kemungkinan terjadinya serangan SQL injection melalui fitur tersebut. Untuk membuktikannya, coba inputkan basic payload pada fitur tersebut. Basic payload yang digunakan dapat menggunakan ‘OR 1=1#.

Dan terlihat, serangan SQL injection berhasil dilakukan ditandai ditampilkannya data-data pengguna yang terdaftar ketika menginputkan inputan payload SQL diatas.

Thanks, Stay Ethical & Happy Hacking! 🍻