Tutorial Cara Patch Bug Bypass Admin Login Website
Hallo Sobat Gila Coders, Pada Tutorial Kali ini Saya Akan Share Cara Patch Bug
Bypass Admin Login.Nah Untuk Para Admin Juga Harus Tau, Karena Kesalahan Kecil
Saja Dapat Menimbulkan Bahaya Yang Amat Besar.Bagaimana Tidak, Seorang Dapat
Menginjeksi Login Website Anda, Dan Mengupload Shell Backdoor, Bisa Jadi
Website Kalian Akan Menjadi Korban Defacer.
Nah Untuk Para Admin Website, Kalian Perlu Berhati Hati, Siapa Tau Adanya Bug
Yang Satu ini Pada Website Kalian.Nah Buat Kalian Yang Mau Patch Bug Bypass
Kalian Bisa Simak Tutorial Berikut ini.
Pertama, Kalian Bisa Lihat Script di Bawah ini,
<?php
$message = "";
if(isset($_POST['submit'])){
$username= ($_POST[username]);
$password = md5($_POST['password']);
$query = "SELECT * FROM admin WHERE username = '$username'
and password = '$password' and usertype = '1'";
$query_result = mysqli_query($con, $query);
if(mysqli_num_rows($query_result)){
$row = mysqli_fetch_assoc($query_result);
$_SESSION['admin_id'] = $row['id'];
$_SESSION['username'] = $row['username'];
header("location: index.php");
}else{
$message = "Username and password is not
matched.";
}
}
?>
Dari Script Diatas Masalahnya Ada Pada
$username= ($_POST['username']);
$password = md5($_POST['password']);
Kita Bisa Tau, Kalau Pada
$username = ($_POST['username]);
Tidak ada Filterisasi Karakter Yang Mengakibatkan Adanya Bug, Dimana Seorang
Attacker Dapat Memasukan query inject Dan Dapat Masuk ke Dashboard admin.
Tapi Kalian Para Admin Gak Perlu Resah Atau Khawatir Karena Saya akan
Membagikan Caranya Filterisasi Karakter, Sehingga Seseorang Tidak Dapat
Melakukan Bypass.Kalian Hanya Perlu Menambahkan Filter Berikut ini .
$username=addslashes(trim($_POST[username]));
Nah Dengan Adanya Filter Tersebut Seorang Attacker Tidak Dapat Melakukan
Injeksi Atau Tidak Ber efek Pada Login Kalian.Jadinya Seperti ini.
<?php
$message = "";
if(isset($_POST['submit'])){
$username = addslashes(trim($_POST['username']));
$password = md5($_POST['password']);
$query = "SELECT * FROM admin WHERE username = '$username' and
password = '$password' and usertype = '1'";
$query_result = mysqli_query($con, $query);
if(mysqli_num_rows($query_result)){
$row = mysqli_fetch_assoc($query_result);
$_SESSION['admin_id'] = $row['id'];
$_SESSION['username'] = $row['username'];
header("location: index.php");
}else{
$message = "Username and password is not
matched.";
}
}
?>
Nah Itulah Cara Patch Bug Bypass Admin,Buat Kalian Yang Mempunyai Website Harus
Berhati Hati Juga Dengan Bug Bug Yang Lainnya, Sering Seringlah Mengecek File
File Kalian.Karena Salah Sedikit Saja Fatal Akibatnya.Semoga Bermanfaat.