[HacktivityCon 2021] – All Baked Up

Berikut adalah tampilan awal dari web : Coba capture request dengan burpsuite, disitu terdapat POST request ke /graphql dengan body seperti dibawah : Kalau kita klik salah satu post, maka POST requestnya adalah sebagai berikut : Jadi didalam GraphQL, terdapat 2 operasi yang paling umum digunakan, yaitu query dan mutation. Query adalah bentuk operasi yang […]

[TAMUctf 2021] – API 2: The SeQueL

Diberikan sebuah web, dimana halaman awal web cukup menarik, karena ada parameter ?name=Cone dan muncul gambar cone Karena saya merasa bahwa judul merupakan hint untuk menyelesaikan soal, saya coba sql injection dengan memasukkan ‘ order by 5 — – tapi disitu tidak muncul apa-apa Saat saya coba dengan ‘ order by 6 — – disitu […]