Assalamu’alaikum wr.wb
Kali Ini gw ingin share sedikit materi tentang cara Patch bug bypass admin login langsung aja ke tutorial nya
Sebenarnya untuk cara melakukan patch bug bypass admin pada website itu sangat mudah, kamu hanya cukup dengan menambahkan perintah mysqli_escape_string.
Berikut ini contoh source kode yang memiliki vulnerability bypass admin login, saya akan ambil bagian tertentu saja ya biar simple.
<?php
$message = “”;
if(isset($_POST[‘submit’])) {
$username = ($_POST[‘username’]);
$password = ($_POST[‘password’]);
kode bla bla bla
kode bla bla bla
kode bla bla bla
} else {
$message = “Username and Password is not matched”;
}
}
?>
Jika kita pahami pada source kode diatas, berikut ini adalah kode dimana yang menjadi masalah yaitu bisa di bypass admin login nya.
$username = ($_POST[‘username’]);
$password = ($_POST[‘password’]);
Penjelasan begini, kita tahu bahwa kode tersebut tidak ada filterisasi karakter yang mengakibatkan adanya bug dimana seorang attacker bisa dapat memasukan query injeksi dan dapat masuk ke dashboard panel admin suatu website.
Nah, maka dari itu kita tambahkan saja kode atau fungsi mysqli_escape_string di bagian kode yang dapat menyebabkan bug tadi, jika digabungkan caranya seperti ini kodenya.
$username = mysqli_escape_string($con, $_POST[‘username’]);
$password = mysqli_escape_string($con, $_POST[‘password’]);
Sudah paham kan caranya? Jika sudah Bagus lah
Jadi setelah menambahkan filter pada bagian kode $username dan $password dengan fungsi mysqli_escape_string tersebut, seorang attacker tidak akan bisa menginjeksi admin login.
Sekian tutorial nya apabila ada yg salah mohon maap.
Wassalamu’alaikum wr.wb
