Kali ini saya akan membahas bug DoS, sebelumnya saya pernah membagikan DoS tetapi wp-admin/load-scripts.php jika ingin dibaca post yang sebelumnya ini linknya https://daffa.info/?p=40 dan ini saya menemukan ada bug yang sama tetapi di tempat yang berbeda yaitu wp-admin/load-styles.php, sebelum membahas lebih lanjut mari simak dulu pengertian DoS

Denial of Service atau yang biasa dipanggil DoS telah ditemukan di platform CMS WordPress yang dapat memungkinkan siapa saja untuk menghapus sebagian besar situs web WordPress bahkan dengan satu mesin tanpa memukul dengan sejumlah besar bandwidth

load-scripts.php dan load-styles.php aslinya sama saja tetapi kalau load-scripts.php memunculkan javascript yang ada di wordpress, sedangkan load-styles.php memunculkan css yang ada pada wordpress. Namun css pada wordpress hanya sekitar 36 files sedangkan javascript terdapat kurang lebih 189 files

http://example.com/wp-admin/load-styles.php?&load=common,forms,admin-menu,dashboard,list-tables,edit,revisions,media,themes,about,nav-menus,widgets,site-icon,l10n,install,wp-color-picker,customize-controls,customize-widgets,customize-nav-menus,customize-preview,ie,login,site-health,buttons,admin-bar,wp-auth-check,editor-buttons,media-views,wp-pointer,wp-jquery-ui-dialog,wp-block-library-theme,wp-edit-blocks,wp-block-editor,wp-block-library,wp-components,wp-edit-post,wp-editor,wp-format-library,wp-list-reusable-blocks,wp-nux,deprecated-media,farbtastic

Cara kerjanya pun sama seperti pada post https://daffa.info/?p=40 yaitu mengirimkan request sebanyak-banyaknya sehingga website tersebut down, namun jika dipikir secara logika file css yang hanya 36 mungkin membutuhkan waktu yang lebih lama dibandingkan dengan file js yang 6 kali lipat banyaknya

Image result for 502 bad gateway"
502 Bad Gateway

Cara memperbaikinya

Caranya dengan menambah sedikit line di file bernama .htaccess, berikut kodenya

RewriteCond %{HTTP_REFERER} !example\.com [NC]
RewriteCond %{THE_REQUEST} \.php[\ /?].*HTTP/ [NC]
RewriteRule ^wp-admin/load-styles\.php$ – [R=403,L]

Dengan menambah code ini maka website akan memberikan kode 403 dan orang luar tidak dapat mengakses file tersebut

Sumber:

http://baraktawily.blogspot.com/2018/02/how-to-dos-29-of-world-wide-websites.html?m=1