Kerentanan ini terdapat pada website yang sama seperti postingan saya sebelumnya (baca: Memanfaatkan Informasi dari Debug Bar untuk Serangan Session Hijacking )
Setelah saya mengetahui username yang dipakai untuk login adalah Nomor Induk Pegawai (NIP), maka saya mencoba untuk mencari kerentanan dari sisi user. Biasanya, kerentanan dari sisi user adalah menggunakan default password (password bawaan).
PoC
Percobaan dilakukan dengan menggunakan NIP milik salah satu pegawai yang saya temukan di Google dalam Surat Keputusan (SK) milik lembaga.
Selanjutnya, saya mencoba melakukan login menggunakan NIP pegawai sebagai username dan kata password sebagai password.
Hasilnya, saya dapat diarahkan ke dalam dashboard user.
Saya sempat berpikir mungkin hanya user ini saja, lalu timbul rasa penasaran untuk mencoba login dengan user yang berbeda tetapi dengan password yang sama.
Dari sini saya bisa menarik kesimpulan bahwa secara bawaan password untuk semua user adalah password dan kemungkinan beberapa user masih belum mengganti password bawaan.
Dampak dari kerentanan ini adalah orang lain bisa melakukan aktivitas ilegal akses dan mengubah data milik user.
Temuan ini sudah saya laporkan dan sudah diperbaiki.
Sekadar informasi, website ini digunakan untuk absen dan permohonan cuti pegawai.
Sekian dan terima kasih.
Maha benar Tuhan, maha kadang-kadang umat-Nya.