Laporan Kerentanan SQL Injection

Informasi Pelapor:
Nama: Ahmad Syafaat 
Usia: 21 tahun 
No. WhatsApp: 083169500234 

Ringkasan Eksekutif:
Teridentifikasi kerentanan SQL Injection (SQLi) dengan tingkat keparahan tinggi pada website perpustakaan Universitas Pendidikan Indonesia (UPI).  
Kerentanan ini ditemukan pada endpoint peminjaman-dan berpotensi memungkinkan akses tidak sah ke database, termasuk informasi sensitif peminjaman dan data lainnya. 

Detail Kerentanan:
Target URL: https://perpustakaan.upi.edu/cekpinjam/index.php?page=peminjaman 
Jenis Kerentanan: SQL Injection (SQLi) 
Tingkat Keparahan (Severity): Tinggi (High) 
Parameter Rentan: 'nim' (pada request POST) 

Langkah Reproduksi:
Kerentanan ini berhasil direplikasi menggunakan tool sqlmap. 
1. Siapkan tool sqlmap. 
2. Eksekusi perintah berikut:
   sqlmap -u "https://perpustakaan.upi.edu/cekpinjam/index.php?page=peminjaman" --random-agent --data="nim=123" --threads=10 -v3 --technique=BEUSTQ 

Dampak Potensial:
Eksploitasi kerentanan ini dapat mengakibatkan:
* Akses tidak sah ke seluruh database perpustakaan. 
* Pengungkapan informasi peminjaman. 
* Pengambilan data sensitif lainnya yang tersimpan dalam database. 

Output sqlmap mengonfirmasi bahwa back-end DBMS adalah MySQL >=5.0.12, berjalan di sistem operasi Linux Ubuntu dengan teknologi web server Apache 2.4.58.  
Kerentanan teridentifikasi sebagai time-based blind SQL Injection pada parameter 'nim'. 

Rekomendasi Mitigasi:
Untuk mencegah kerentanan SQL Injection, sangat disarankan untuk menerapkan kontrol keamanan berikut:
* Prepared Statements: Gunakan prepared statements untuk semua interaksi database. 
* Validasi Input: Terapkan validasi input yang ketat dan menyeluruh pada semua data yang diterima dari pengguna.