[Security] Apply rate limiting to login route

[Revanza1106]

Deskripsi

Memperbaiki kerentanan keamanan pada endpoint login akibat tidak adanya batasan percobaan login, sehingga memungkinkan attacker untuk melakukan brute force attack.

Perubahan

Provider

• RouteServiceProvider: Tambah rate limiter login dengan limit 10x per menit

Routes

• web.php: Override route login dengan throttle:login middleware
• Disable default login route dari Auth::routes()

Risiko

• Sebelum: Tanpa batasan percobaan login, vulnerable ke brute force
• Sesudah: Dibatasi maksimal 10x percobaan per menit per IP + Email

Checklist

• Code mengikuti style guide
• Tidak mengubah fitur yang sudah ada
• Hanya menambahkan rate limiting pada login

Closes #1410

[apidong]

mas @vickyrolanda
perlu di analisis juga, jika menggunakan cloudflare dengan mode proxy aktif (cloud orange), maupun reverse proxy. semua trafik yang masuk terbaca sebagai 1 ip. jika ada saat itu ada serangan bruto force ke login, pengguna asli terkena limit juga.

[vickyrolanda]

mas @vickyrolanda perlu di analisis juga, jika menggunakan cloudflare dengan mode proxy aktif (cloud orange), maupun reverse proxy. semua trafik yang masuk terbaca sebagai 1 ip. jika ada saat itu ada serangan bruto force ke login, pengguna asli terkena limit juga.

ya mas, Ketika menggunakan Cloudflare Proxy atau Reverse Proxy (Nginx, Apache, Load Balancer), implementasi rate limiting berbasis $request->ip() akan sangat bermasalah.

karena masalahnya seperti ini :

• Semua request terlihat dari IP yang sama (IP Cloudflare atau Proxy)
• Attacker melakukan 10 request dengan email berbeda-beda
• User legitimate tidak bisa login karena limit sudah tercapai dari IP yang sama
• Rate limiting jadi tidak efektif untuk mencegah serangan

untuk menangkap IP asli dari cloudflare saya cari biasanya bisa gunakan Real IP dari Header HTTP Cloudflare dan reverse proxy biasanya mengirim IP asli client melalui header:

CF-Connecting-IP (Cloudflare)
X-Forwarded-For
X-Real-IP

[Revanza1106]

mas @vickyrolanda perlu di analisis juga, jika menggunakan cloudflare dengan mode proxy aktif (cloud orange), maupun reverse proxy. semua trafik yang masuk terbaca sebagai 1 ip. jika ada saat itu ada serangan bruto force ke login, pengguna asli terkena limit juga.

ya mas, Ketika menggunakan Cloudflare Proxy atau Reverse Proxy (Nginx, Apache, Load Balancer), implementasi rate limiting berbasis $request->ip() akan sangat bermasalah.

karena masalahnya seperti ini :

* Semua request terlihat dari IP yang sama (IP Cloudflare atau Proxy)

* Attacker melakukan 10 request dengan email berbeda-beda

* User legitimate tidak bisa login karena limit sudah tercapai dari IP yang sama

* Rate limiting jadi tidak efektif untuk mencegah serangan

untuk menangkap IP asli dari cloudflare saya cari biasanya bisa gunakan Real IP dari Header HTTP Cloudflare dan reverse proxy biasanya mengirim IP asli client melalui header:

CF-Connecting-IP (Cloudflare) X-Forwarded-For X-Real-IP

Terimkasih mas @vickyrolanda untuk arahanya,Saya akan implementasikan rate limiting dengan membaca IP asli dari header tersebut (CF-Connecting-IP, X-Forwarded-For,X-Real-IP).

pendekatan yang saya akan saya implementasikan yaitu:

menambah method helper untuk get real IP & Mengunakan di rate limiter login