Cara Patch Bug Bypass Admin/Bypass SQL Login

Evil Twin

Hallo, 
Oke pada artikel kali ini Admin ingin memberikan tutorial patch Bug Bypass Admin/Bypass SQL Login.

Bug ini memanfaatkan SQL Injection untuk masuk ke halaman dashboard tanpa perlu mengetahui Username dan Password yang sebenarnya (asli).

Oke langsung aja kita lihat source code, letak kesalahan kode san cara melakukan patch nya agar tidak bisa di bypass.

Source Code Yang Memiliki Celah Untuk Di Bypass

Pertama-tama kita lihat terlebih dahulu source codenya dan mencari tau dimana letak code yang memungkinkan untuk di bypass menggunakan query seperti '=''or' dan lain lain


Bisa di lihat source code diatas, Dia langsung melakukan POST data tanpa di filter terlebih dahulu. Yang mengakibatkan query '=''or' dan lain-lain bisa ter eksekusi.


Disitu Admin menggunakan query seperti gambar diatas untuk Bypass Authentication di halaman login tersebut dan hasilnya berhasil masuk ke dashboard.


Yapss, terlihat ada beberapa page yang hanya bisa di akses oleh Admin website tersebut seperti Add offer, Add user dan lain-lain.

Patch Bug Bypass Authentication

Tahap akhir adalah melakukan patch terhadap bug tersebut agar query seperti tadi tidak dapat tereksekusi (di filter).

Caranya gimana? ada beberapa cara untuk memfilter nya, Ada yang menggunakan mysqli_escape_string, stripslashes dan lain-lain.

Di tutorial kali ini Admin ingin menggunakan mysqli_escape_string saja, Oke langsung aja kita filter form loginnya.


Cara memfilternya seperti gambar diatas, Cukup menambahkan (mysqli_escape_string) dibagian Username/Email dan Password saja sebelum melakukan POST data.

Berhasil Patch Bug Bypass Authentication

Tahap yang terakhir adalah memastikan bug tersebut berhasil di patch, Caranya hanya cukup merefresh halaman login tadi dan memasukkan query yang sama seperti diawal.


Horee ada pemberitahuan bahwa Username dan Password nya salah. Yang berarti query or seperti tadi tidak bisa tereksekusi karna sudah di filter menggunakan (mysqli_escape_string).

Akhir Kata

Oke mungkin cukup sampai disini aja artikel kali ini tentang "Cara Patch Bug Bypass Admin/Bypass SQL Login".
Mohon maaf bila ada kesalahan kata dan sebagainya, Mohon dimaklumi.

Semoga bermanfaat dan Sampai jumpa di artikel selanjutnya!
Evil Twin