Teknik bypass login: SQLi, forced browsing, JWT manipulation, session fixation, cookie theft, dan 2FA bypass.
Authentication Bypass adalah teknik melewati mekanisme autentikasi aplikasi tanpa kredensial yang valid. Session Hijacking adalah mencuri atau memanipulasi token session pengguna yang sah. Keduanya sangat berbahaya dan sering menjadi entry point utama serangan.
admin" OR "1"="1"--
admin" --
" OR 1=1 LIMIT 1 -- -
' OR '1'='1
admin") OR ("1"="1
admin" OR 1=1 #
OR 1=1Akses langsung halaman internal tanpa login: /admin, /dashboard, /config.php
Beberapa kerentanan JWT:
# Original JWT
eyJhbGciOiJSUzI1NiJ9.eyJ1c2VyIjoiZ3Vlc3QifQ.signature
# Modified (alg=none, no signature)
eyJhbGciOiJub25lIn0.eyJ1c2VyIjoiYWRtaW4ifQ.Penyerang mengirimkan session ID yang sudah diketahui ke korban. Begitu korban login, session ID yang sama menjadi valid — penyerang bisa mengakses akun korban.
Session token yang lemah/predictable (contoh: MD5(timestamp)) bisa ditebak.
Mencuri session cookie via XSS, MITM di HTTP (tanpa HTTPS), sniffing di network yang sama.