Hallo :u

Cerita nya lagi iseng iseng baca artikel tentang xxxxx tiba tiba melihat suatu website yang desain nya rapih, sangat diurus serta artikel nya update, karena ini lumayan penting untuk suatu wilayah web dengan sub domain xxxxx.go.id web pemerintah 👀 ?

yapp coba coba lihat web nya sampai nemu ada section bagian berita yang masih baca berita nya by id

langsung terpikir sql injection ? setelah mencoba beberapa payload basic yapp bener ini sql injection untuk mengecek version nya lalu saya test dengan command version

yap versi nya nongol berarti dari sini selanjutnya hanya perlu mencari tabel dan column untuk melihat informasi penting, hingga akhirnya saya menemukan beberapa tabel seperti user(admin) login, serta beberapa data akun penting.

lalu saya coba lihat credss login yang ada

yap dan credss nya valid, dari sini saya sudah mulai ingin melapor ke pihak admin, namun karena saya terlalu ambis :u karena saya yakin masih banyak vuln lainnya yang dapat dieksplorer, saya melihat suatu inputan hingga saya akhirnya melakukan testing, payload untuk xss, yapp dan valid

yap ini kesalahan saya karena xss nya adalah storage yang mana stiap di akeses web ini akan trus muncul xss nya, sebenarnya saya langsung ingin mengirim kelemahan website ini ke contact person, karena semalem saya langsung main valorant jadi tidak sempat :u

dan ketika saya ingin merekap nya di pagi hari yapp website ini sedang dimaintance yang berarti sedang diperbaiki, gagal dapet serti :( walau agak sedih tapi gak papa setidak nya sudah di aware dari payload yang saya jalankan.

saya berani jamin semua credss data yang saya temukan tidak saya sebarkan bahkan tidak ada yang saya simpan #hackerbaik