Bug bypass admin adalah salah satu bug yang cukup merugikan bagi admin web.mengapa? karena peretas dapat memanfaatkan celah pada laman login admin menggunakan '="or' .dengan begitu,peretas dengan mudahnya masuk ke panel admin dan bisa mengambil/mengubah data-data penting dari web tersebut.
kali ini,admin Kamu Tau Ga akan memberikan tutorial bagaimana cara patch bug bypass admin
1. coba liat Script yang ada di bawah ini di mana kah bug nya
<?php $message = “”;
if(isset($_POST[‘submit’])){
$username= ($_POST[username]);
$password = md5($_POST[‘password’]);
$query = “SELECT * FROM admin WHERE username = ‘$username’ and password = ‘$password’ and usertype = ‘1’”;
$query_result = mysqli_query($con, $query);
if(mysqli_num_rows($query_result)){
$row = mysqli_fetch_assoc($query_result);
$_SESSION[‘admin_id’] = $row[‘id’]; $_SESSION[‘username’] = $row[‘username’]; header(“location: index.php”);
}else{
$message = “Username and password is not matched.”;
} } ?>
bug nya terdapat pada bagian ini mengapa?
$username= ($_POST[username]);
$password = md5($_POST[‘password’]);
Script diatas lah yang menjadi bug pada website anda Kerena disana tidak terdapat Filter
Cara mengatasinya Adalah menambahkan Filter pada code itu contohnya
$username = mysqli_escape_string($con,$_POST['username']);
$password = mysqli_escape_string($con,$_POST['password']);
cara mengatasinya seperti itu
contoh lengkap Script nya ada di link dibawah ini:
Klik untuk lihat