Image-Based SQL Injection: Exploiting Gaps for Database Execution | Kemenkumham

Channel:
Indonesia Pwn0sec
Subscribers:
485
Published on ● Video Link: https://www.youtube.com/watch?v=rxbB7CX2gvY


Duration: 1:31
47 views
0

/@pwn0sec /@cactkumham

Kerentanan SQL Injection pada gambar dengan celah eksekusi lebih lanjut merujuk pada suatu situasi di mana gambar yang diunggah atau metadata gambar dalam suatu aplikasi, seperti galeri foto, mengandung celah yang dapat dieksploitasi oleh penyerang untuk menyisipkan dan menjalankan kueri SQL berbahaya pada database terkait.

Berikut adalah beberapa poin terkait dengan kerentanan tersebut:
๐†๐š๐ฆ๐›๐š๐ซ ๐’๐ž๐›๐š๐ ๐š๐ข ๐Œ๐ž๐๐ข๐š ๐„๐ค๐ฌ๐ฉ๐ฅ๐จ๐ข๐ญ๐š๐ฌ๐ข: Dalam konteks ini, gambar atau metadata gambar dianggap sebagai media eksploitasi. Ini bisa berarti bahwa aplikasi memproses atau menyimpan informasi tertentu terkait gambar, dan celah terdapat pada mekanisme pemrosesan atau penyimpanan tersebut.

๐’๐๐‹ ๐ˆ๐ง๐ฃ๐ž๐œ๐ญ๐ข๐จ๐ง ๐ฉ๐š๐๐š ๐Œ๐ž๐ญ๐š๐๐š๐ญ๐š: Penyerang dapat memanfaatkan celah pada metadata gambar atau informasi terkait untuk menyisipkan kueri SQL yang berbahaya. Metadata gambar bisa mencakup informasi seperti deskripsi, tag, atau atribut lain yang terkait dengan gambar.

๐‚๐ž๐ฅ๐š๐ก ๐„๐ค๐ฌ๐ž๐ค๐ฎ๐ฌ๐ข ๐‹๐ž๐›๐ข๐ก ๐‹๐š๐ง๐ฃ๐ฎ๐ญ: Setelah berhasil menyisipkan kueri SQL berbahaya, penyerang dapat mengeksekusi kueri tersebut lebih lanjut pada database. Ini dapat mencakup operasi seperti pengambilan, manipulasi, atau bahkan penghapusan data dari database, tergantung pada tingkat akses yang dimiliki oleh aplikasi.

๐๐จ๐ญ๐ž๐ง๐ฌ๐ข ๐ƒ๐š๐ฆ๐ฉ๐š๐ค: Dampak dari eksploitasi kerentanan ini dapat bervariasi, mulai dari pengambilan informasi sensitif hingga merusak atau menghapus data. Dalam konteks galeri foto, penyerang mungkin dapat mendapatkan akses tidak sah ke foto-foto yang dilindungi atau melakukan manipulasi data lainnya.

Untuk melindungi aplikasi dari kerentanan SQL Injection pada gambar, pengembang perlu memvalidasi dengan cermat semua input pengguna yang terkait dengan gambar dan metadata. Penggunaan parameterized queries atau prepared statements untuk berinteraksi dengan database dapat mengurangi risiko SQL Injection. Selain itu, melakukan sanitasi data dan mengimplementasikan kontrol akses yang kuat merupakan praktik keamanan yang sangat penting untuk mencegah eksploitasi potensial.

#bugbounty
#bugbountytips
#vulnerability
#digitalforensics
#cybersecurity
#cybersecurityeducation
#cybersecurityexplained



Other Videos By Pwn0sec


2024-12-17Apache HTTP Server Path Traversal & Remote Code Execution (RCE) Kepolisian Negara Republik Indonesia
2024-12-17Unauthenticated SSRF CVE-2022-1386 Kepolisian Negara Republik Indonesia
2024-12-09Automation Technology Governance of BKN Republik RI
2024-01-31[Counter Strike 2 BETA] Ability Bypassing VAC & Read/fixed OFFSET values using IDA Pro 7.5
2024-01-31Aerosol Robotic Network (AERONET) NASA | Bug Bounty POC
2024-01-31Kementerian Pertanian Republik Indonesia - Sistem Informasi Pasar Produk Perkebunan Unggulan
2024-01-31Unveiling BYPASS REDIRECT SQL Injection Exploitation Strategies | PENGADILAN AGAMA TALU
2024-01-31Bypassing 403 Forbidden: Unveiling SQL Injection Techniques for Unauthorized Access | JTrust Group
2024-01-31Securing Keycloak: Exploring and Mitigating Reflected XSS | Kemenkeu RI
2024-01-31GraphQL API User Enumeration with Metasploit (CVE-2021-4191) | Pemprov DKI Jakarta
2024-01-31Image-Based SQL Injection: Exploiting Gaps for Database Execution | Kemenkumham
2024-01-20Strategi Obfuscation dalam SQL-INJECTION Bypass Firewall | PKKS
2023-12-02Telkom Indonesia | TELKOM AKSESS | Blind SQL-Injection
2023-12-02GTV Indonesian | Global Information Broadcasting | Bypass SQL-Injection
2023-11-30Mississippi State University | SQL-INJECTION WAF | Exploit Extract any sensitive databases
2023-11-30Speedrun | Argonne National Laboratory | Exploiting SQL-Injection | Extract Any Information Database
2023-11-29FERRARI N.V | Unauthenticated RCE Bug Bounty POC | Private Bug Bounty Program 2023 | CVE-2020-11798
2023-11-27VSS PProject November 23 Released
2023-11-26TEST PER TITID'AN FITUR UNIQUE
2023-11-02CS2 FaceIT USP-S 5K on Inferno
2023-10-02Knife BUG on CS2? #cs2 #cs2beta #csgoclips