Hell Yeah Pointer 1

Cara memperbaiki Bug bypass Login Admin



  • bagaimana cara menutup Bug bypass Admin?
sering kali programmer lupa dalam sebuah keamanan ternyata kurang/salah sedikit saja bisa berakibat fatal pada website.

  • lalu apa itu bypass admin login?
bypass admin login adalah sebuah metode login admin dengan melakukan input data pada username/password dengan memasukan karakter atau perinta sql tertentu.
seperti: "='or' atau or 1=1-- " sebagai pengguna/password
Bypass login admin tidak jauh masalahnya seperti sql injection, yaitu kesalahan pada source code, dikarena kecerobohan programmer atau web developer.

  • Cara Menutup Bug Bypass Login Admin
kita ambil contoh pada source code berikut:

<?php
$conn = mysqli_connect("localhost", "root", "", "blog");
if (isset($_POST["login"])) {
$username = $_POST["username"];
$password = $_POST["password"];
$result = mysqli_query($conn, "SELECT * FROM admin WHERE username = '$username' AND password = '$password'");
if (mysqli_num_rows($result) &gt; 0) {
header("Location: index.php");
exit;
}
$error = true;
}
?>
perlu diperhatikan dari source code diatas, pada code: 
$username=$_POST["username"]
dicode tersebut tidak ada pemfilteran karakter hal itu bisa menghasilkan bug, memang terlihat sepele tetapi berbahaya, defacer bisa mengetasploit dengan memasukan printah inject seperti "='or' dll. 

  • lalu bagaimana solusinya?
cukup mudah hanya dengan menambahkan addslashes.
Contoh:
$username=addslashes($_POST["username"]
mudah bukan? ini masalah sepele tapi berakibat fatal. sekarang situs web anda memiliki pemfilteran agar para defacer tidak dapat mengiject query disitus anda

  • lalu apa itu fungsi addslashes?
Fungsi addslashes pada php adalah untuk mengembalikan nilai sebuah string dengan memberikan atau menambahkan simbol tanda backslash dalam bentuk garis miring terbalik sebelum karakter single quote, double quote, dan NUL. 
Beberapa programmer berpendapat bahwa dengan menggunakan fungsi addslashes() maka akan dapat mencegah hacker memasukan script atau kode kusus yang mengandung tanda kutip pada sebuah form di web dan aplikasi. 
Jadi jika dilihat dari hal tersebut fungsi addslashes() ternyata memberikan peran cukup baik dalam sistem keamanan form di web dan aplikasi. Fungsi addslashes() hanya dapat bekerja pada php versi 4 keatas.

Terimakasih Sudah mengunjungj, semoga bermanfaat_^

Belum ada Komentar untuk "Cara memperbaiki Bug bypass Login Admin"

Posting Komentar

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel

loading...