Cara Patch Bug Bypass Admin Login

 

Sebenarnya untuk cara melakukan patch bug bypass admin pada website itu sangat mudah, kamu hanya cukup dengan menambahkan perintah mysqli_escape_string.

Berikut ini contoh source kode yang memiliki vulnerability bypass admin login, saya akan ambil bagian tertentu saja ya.

<?php
$message = "";
if(isset($_POST['submit'])) {
$username = ($_POST['username']);
$password = ($_POST['password']);

kode bla bla bla
kode bla bla bla
kode bla bla bla

} else {
$message = "Username and Password is not matched";
}
}
?>

Jika kita pahami pada source kode diatas, berikut ini adalah kode dimana yang menjadi masalah yaitu bisa di bypass admin login.

$username = ($_POST['username']);
$password = ($_POST['password']);

Penjelasan begini, kita tahu bahwa kode tersebut tidak ada filterisasi karakter yang mengakibatkan adanya bug dimana seorang attacker bisa dapat memasukan query injeksi dan dapat masuk ke dashboard panel admin suatu website.

Nah, maka dari itu kita tambahkan saja kode atau fungsi mysqli_escape_string di bagian kode yang dapat menyebabkan bug tadi, jika digabungkan caranya seperti ini kodenya.

$username = mysqli_escape_string($con, $_POST['username']);
$password = mysqli_escape_string($con, $_POST['password']);

Sudah paham kan caranya? Jika sudah, Bagus deh!

Jadi setelah menambahkan filter pada bagian kode $username dan $password dengan fungsi mysqli_escape_string tersebut, seorang attacker tidak akan bisa menginjeksi admin login, mantap haha.

Selamat mencoba, enjoy...

Penutup:

Demikian artikel sederhana yang saya tulis ini, tentang Tutorial Deface Bypass Admin Login dan Cara Patch Bug Bypass Admin berdasarkan pengalaman yang sudah saya pelajari, semoga dapat berguna dan bermanfaat buat semua orang.

Dari saya maaf jika ada kesalahan atau kurang jelas dalam penulisan, mohon untuk diluruskan/maklumi karena saya juga pemula pake banget. Buat kamu ada yang mau dipertanyakan soal ini silahkan tuliskan dikolom komentar dibawah, sebisa mungkin saya akan bantu jawab.