Laravel merupakan framework PHP yang paling powerfull saat ini. Hal tersebut didukung dari berbagai faktor. Salah satunya adalah developer dan komunitas mereka yang sangat luas dan update terhadap perubahan teknologi. Sampai artikel ini direlease, versi framework laravel sudah versi 10.
Banyak pengembang yang menggunakan Laravel sebagai framework pada aplikasi mereka. Menurut mereka, laravel menyediakan berbagai kemudahan sehingga mulai tahapan code sampai deplyoment , programmer serasa dimanjakan dengan berbagai fitur bawaan laravel.
akan tetapi, beberapa pengembang yang menggunakan fitur laravel lupa untuk mematikan beberapa route bawaan ketika menggunakan Laravel UI. ketika kita menggunakan command:
php artisan ui bootstrap --auth
terdapat beberapa views dan route yang dibuat. Route dan views yang dibuat otomatis adalah login, register dan forgot password. Hal tersebut bisa disalah gunakan oleh orang lain untuk masuk ke aplikasi kita melalui fitur register. Terlebih lagi, fitur email veirifikasi pada saat register belum langsung aktif sehingga tanpa melakukan verifikasi, user langsung bisa digunakan.
Pada beberapa aplikasi yang kami temui, mereka tidak membatasi midleware. Pada umumnya developer mengandalan midleware:auth sebagai sesi pembatas antara publik dan user sehingga hacker bisa melakukan bypass pada sistem. akibatnya, hacker bisa memanfaatkan celah tersebut untuk melakukan perubahan-perubahan pada aplikasi.
Adapun solusi dari masalah di atas yaitu mematikan route register pada routes/web.php
Auth::routes();Menjadi
Auth::routes(['register' => false]);Sehingga ketika halaman register diakses, aplikasi akan menampilkan 404 notfound ( halaman tidak ditemukan).
