security risk karena default value pada input command superadminΒ #20
Description
Halo mas, saya kebetulan gak sengaja nemu repo ini π,
saya cuma mau memberikan sedikit saran terkait command untuk membuat super admin.
saya lihat pada command SuperAdmin menerima input username, password, dan email.
$username = !$this->option('username') ? 'ibnudirsan' : $this->option('username');
$email = !$this->option('email') ? 'admin@Raungdev.net' : $this->option('email');
$password = !$this->option('password') ? 'Raungdev@123' : $this->option('password');disini saya lihat jika user tidak menginputkan informasi superadmin yang diperlukan, maka superadmin akan dibuat menggunakan default value, default valuenya sebagai berikut:
username = ibnudirsan
email = admin@Raungdev.net
password = Raungdev@123
Ini termasuk celah yang SANGAT BERBAHAYA, karena jika pengguna starter-kit ini menjalankan command superadmin ini tanpa memberi input, entah sengaja ataupun tidak sengaja, siapapun akan bisa masuk ke sistem sebagai superadmin dengan menggunakan default value tersebut yang bisa dia lihat pada repo public ini.
saran saya sebaikanya default value nya dihapus dan lebih baik commandnya memberikan error saat input yang diperlukan tidak lengkap.
Semoga bisa diperbaiki, terima kasih ππ