Fungsi formulir pendaftaran ini menggunakan field tersembunyi bernama urhidden. Field ini menentukan user role (seperti admin atau editor) untuk akun yang dibuat. Data pada field ini dienkripsi agar terlihat aman, tetapi ada masalah.
Month: November 2024
Contoh Script PHP yang Vulnerable, Jadi Target Serangan Remote Code Execution (RCE)
Kode di atas memastikan file cache disimpan di direktori yang aman dan valid, baik di lokasi yang diberikan pengguna (kalau valid) atau di direktori default.
Continue reading “Contoh Script PHP yang Vulnerable, Jadi Target Serangan Remote Code Execution (RCE)”Contoh Script PHP yang Vulnerable, Jadi Target Serangan PHP Object Injection
Kode di atas memastikan hanya field tertentu (Billing Country, Card ZIP, dan Card CVC) yang ada di formulir, tapi tidak memeriksa apakah nilai di dalam input field sudah aman. Hal ini membuka peluang terjadinya PHP Object Injection, di mana penyerang bisa menyisipkan data berbahaya ke dalam input.
Continue reading “Contoh Script PHP yang Vulnerable, Jadi Target Serangan PHP Object Injection”Contoh Script PHP yang Vulnerable dan Bisa Jadi Target Serangan SQL Injection
Pada contoh code yang rentan (vulnerable) di atas, nilai dari variabel $attr (yang bisa berasal dari pengguna atau sumber lain) langsung dimasukkan ke dalam query database tanpa pengecekan. Ini berarti jika ada pengguna jahat yang memasukkan data berbahaya, seperti karakter khusus atau perintah tertentu, data tersebut bisa merusak database. Misalnya, seseorang bisa memasukkan sesuatu yang bisa memanipulasi query dan menjalankan perintah berbahaya, yang dapat mengakibatkan pencurian data atau kerusakan pada situs.