Cara Patch Bug Bypass Admin

Cara Patch Bug Bypass Admin Login

Sebenarnya untuk cara melakukan patch bug bypass admin pada website itu sangat mudah, kamu hanya cukup dengan menambahkan perintah mysqli_escape_string.

Berikut ini contoh source kode yang memiliki vulnerability bypass admin login, saya akan ambil bagian tertentu saja ya.

<?php
$message = "";
if(isset($_POST['submit'])) {
$username = ($_POST['username']);
$password = ($_POST['password']);
kode bla bla bla
kode bla bla bla
kode bla bla bla
} else {
$message = "Username and Password is not matched";
}
}
?>

Jika kita pahami pada source kode diatas, berikut ini adalah kode dimana yang menjadi masalah yaitu bisa di bypass admin login.

$username = ($_POST['username']);
$password = ($_POST['password']);

Penjelasan begini, kita tahu bahwa kode tersebut tidak ada filterisasi karakter yang mengakibatkan adanya bug dimana seorang attacker bisa dapat memasukan query injeksi dan dapat masuk ke dashboard panel admin suatu website.

Nah, maka dari itu kita tambahkan saja kode atau fungsi mysqli_escape_string di bagian kode yang dapat menyebabkan bug tadi, jika digabungkan caranya seperti ini kodenya.

$username = mysqli_escape_string($con, $_POST['username']);
$password = mysqli_escape_string($con, $_POST['password']);

Sudah paham kan caranya? Jika sudah, Bagus deh!

Jadi setelah menambahkan filter pada bagian kode $username dan $password dengan fungsi mysqli_escape_string tersebut, seorang attacker tidak akan bisa menginjeksi admin login, mantap haha.

Selamat mencoba, enjoy...

Bagikan Artikel ini