Cara Login Website Tanpa Password
Cara Login Website Tanpa Password. $sql = mysql_query("SELECT * FROM admin WHERE username = '$username' AND password = '$password' ");. nb : perubahannya saya beri warna merah.
hai kawan kawann,lama tidak posting karna saya sibuk bekerja ^_^ cari duit cari nafkah.. kali ini saya akan memposting cara mengamankan halaman login dari serangan hacker. nah untuk tes di sini saya tes di localhost (di komputer sendiri) nah di sini saya sudah memiliki web toko online buatan temen dari temen saya waktu lomba web design lks jatim yang saya jalankan di localhost.sebenarnya teknik ini sudah sangat kuno, tapi masih manjur dan beberapa web master masih cuek atau bahkan ada yang tidak tau soal ini.teknik menyerangnya adalah dengan memasukan beberapa kode injeksi ke kolom username dan password sehingga halaman login bisa ter bypassjadi halaman login itu kalo penulisan dalam algoritmanya pakek SI (Structured Indonesia) seperti ini1.
SELECT*from admin Where user='$username' AND pass='$password' ini query sql bisa di baca seperti ini (lihat kolom admin yang nama usernya $username dan passwordnya $password) seperti itu, untuk pemahaman mengenai perintah perintah sql bisa baca di sini [link] , $username dan $password itu adalah teks yang di inputkan oleh user di halaman login3. jika ada maka lanjut ke tahap selanjutnya, jika tidak maka masuk ke halaman gagal (maksudnya adalah jika perintah sql di atas di eksekusi dan ada hasil yang di tampilkan maka akan masuk ke proses selanjutnya, jika tidak ada hasil maka akan di bawa ke halaman gagal login)4. buat sesi dengan nama $username5.
masuk ke halaman admin/usernah kira-kira jalannya login itu seperti di atas. nah misal nya seperti iniadmin mau login dan menginputkan di kolom username dan password seperti iniuser : adminpassword : admin123maka query sqlnya akan seperti iniSELECT*FROM admin WHERE user='admin' AND password ='admin123'jika ada maka akan tercipta sesi dengan nama admin dan akan masuk kehalaman adminnah bagaimana jika yang login itu hacker/attacker dan menginputkan di kolom username dan password seperti iniwuser : '=' 'or'password : '=' 'or'atau seperti iniuser :' or 1=1 limit 1 -- -+password :' or 1=1 limit 1 -- -+maka query sqlnya akan jadi seperti iniSELECT FROM admin WHERE user=''=''or'' AND password=''=''or''maka halaman login akan terbypass dan kita akan dibawa ke halaman admin dan akan tercipta sesi dengan nama '=' 'or' dan kita pun akan memiliki hak akses seperti admin.berikut adalah beberapa contoh kode injeksi'--' or 'a'='a' or 'a'='a'--' or '1'='1--' or 1=1--'=' 'or'' or 1=1 limit 1 -- -+nah untuk demonya bisa kita lihat tutorial di bawah iniuntuk mencari targetnya bisa kita gunakan dorkinurl:admin.phpinurl:admin/login.phpkreasikan sendirisetelah dapat di sini saya menggunakan target web saya sendiridan coba saya masukan kode injeksinyaand boom ternyata masuk kehalaman adminnah sekarang kita bisa obrak abrik web nya sesuka hatinah untuk mencegah atau mem-patch bug/celah ini sebenarnya mudah sekali, kode halaman login kurang lebih seperti inikita hanya perlu memberikan beberapa fungsi saja di sini jadi seperti ininah sekarang kita coba tes lagi apakah halaman login masih bisa di bypassdan ternyata sudah tidak bisa^_^ sudah deh.. kini halaman login sudah aman dari serangan hacker, bagaimana dengan celah-celah yang lain ?
tunggu saja update dari saya ^_^semoga bermanfaatjangan di salah gunakan.
Cara Login Google Tanpa Password
Google meluncurkan passkeys sebagai alternatif untuk login menggantikan password. "Passkeys adalah cara baru untuk masuk ke aplikasi dan situs web.
Keduanya lebih mudah digunakan dan lebih aman daripada kata sandi, sehingga pengguna tidak perlu lagi mengandalkan nama hewan peliharaan, ulang tahun, atau "password123" yang terkenal itu," tulis Google di laman blognya. Passkeys memungkinkan pengguna masuk ke aplikasi dan situs dengan cara yang sama seperti mereka membuka kunci perangkat, yakni dengan sidik jari, pemindaian wajah, atau PIN kunci layar. Pengguna dapat mengunjungi laman g.co/passkeys untuk mengaktifkan passkeys di akun gmailnya. Dikarenakan fitur passkeys baru diluncurkan, perubahan ke opsi login ini disebut akan membutuhkan waktu. Sebelumnya, aliansi FIDO, sebuah konsorsium keamanan yang terdiri dari banyak perusahaan teknologi sebagai anggotanya telah mengembangkan standar untuk passkeys. Microsoft, Apple, dan Google sejak saat itu telah bekerja untuk menghadirkan passkeys pada layanannya.
Dikutip dari CNN, Apple meluncurkan opsi passkeys dengan merilis iOS 16, yang memungkinkan orang untuk menggunakan teknologi ini di seluruh aplikasi, termasuk Apple Wallet. Sementara itu, dukungan passkeys diluncurkan di perangkat Chrome dan Android pada Oktober 2022, tetapi sekarang opsi ini tersedia di seluruh akun Google, mulai dari Gmail hingga Drive.