توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : جایزه 1,000,000 ریالی برای گزارش باگ امنیتی
RealHAM
April 16th, 2016, 08:56
درگاه پرداخت اینترنتی (http://go.shopkeeper.ir/?url=http%3A%2F%2Fpiratepay.ir%2F) پایرت پی از امروز قصد دارد به ازای دریافت گزارش باگهای امنیتی و راه حل جلوگیری از آن مبلغ 1,000,000 ریال به گزارش دهنده پرداخت نمایید، لطفا گزارشهای خود را به ایمیل security-bugs@piratepay.ir ارسال نمایید
یک سایت وارز انگلیسی هست که میخام روش درگاه وبمانی و ویزا و بیت کوئین و... کار بزارم.
اسکریپت ویبولتین هست.
اگر فرم پرداخت معمولی هم باشه مشکلی نیست.
IrIsT
April 16th, 2016, 12:19
سلام و درود.
4 تا صفحه گذاشتین.یک لاگین.یک عضویت.یک پلاگین.یک ارتباط با ما
باگ هم میخواین؟اسکریپت باشه بهتره.وگرنه خیلی متغیرها رو مخفی کردین.ولی یک سیستم ساده دیگه چک نداره.
ولی یک ضعف کوچیک رو برای شما فرستادم.ولی اینطوری نمیشه.مثلا من بیام یک html درست کنم با سه صفحه بگم باگ بزنید.این میشه؟
موفق باشید.
RealHAM
April 16th, 2016, 13:31
یک سایت وارز انگلیسی هست که میخام روش درگاه وبمانی و ویزا و بیت کوئین و... کار بزارم.
اسکریپت ویبولتین هست.
اگر فرم پرداخت معمولی هم باشه مشکلی نیست.
با سلام مشکلی نیست قابل ارائه است
- - - Updated - - -
سلام و درود.
4 تا صفحه گذاشتین.یک لاگین.یک عضویت.یک پلاگین.یک ارتباط با ما
باگ هم میخواین؟اسکریپت باشه بهتره.وگرنه خیلی متغیرها رو مخفی کردین.ولی یک سیستم ساده دیگه چک نداره.
ولی یک ضعف کوچیک رو برای شما فرستادم.ولی اینطوری نمیشه.مثلا من بیام یک html درست کنم با سه صفحه بگم باگ بزنید.این میشه؟
موفق باشید.
منظور ما باگ در همه فرآیندها بود، باگ در صفحه های انتقال به بانک یا بازگشت از بانک و api و .. ||| موردی را که ارسال فرمودید را خواندم اما زیاد متوحه نشدم تماس هم گرفتم که مشغول بودید
- - - Updated - - -
مبلغ 1,000,000 ریال از بابت گزارش باگی که آقای http://www.webhostingtalk.ir/member.php?u=65924 گزارش داده بودند به حساب وی واریز شد
https://transfer.sh/tCVFW/1460796843.png
دوستان عزیر حملات دیداش جز باگ های امنیتی یک سایت نیست ، باگ امنیتی یعنی این که چه طوری طی یک فرآیند بتوان سیستم را دور زد، مثلا بتوان به دیتابیس دسترسی پیدا کرد یا تراکنش جعلی ایجاد کرد
IrIsT
April 16th, 2016, 16:20
سلام و درود
دومین راه هم پیدا شد.
درحال بایپس می باشیم که جوابگو باشه
بایپس شد تماس گرقته میشه.تلگرام هم اگع دارید بدین.
RealHAM
April 16th, 2016, 16:57
دوستان توجه داشته باشند ما هدفمان پیدا کردن باگ های سایت است نه سرور، یک کم جنبه داشته باشید دی داس کردن و بورت فورس سرور جزو باگ های امنیتی سایت و اسکریپت نیست
IrIsT
April 16th, 2016, 18:25
دوستان توجه داشته باشند ما هدفمان پیدا کردن باگ های سایت است نه سرور، یک کم جنبه داشته باشید دی داس کردن و بورت فورس سرور جزو باگ های امنیتی سایت و اسکریپت نیست
ببخشید یا من هستید؟
باگ من از خود پورتاله.دیداس .. نیست.مخصوص خود سایتتون
اما بایپس نمیشه.داریم کار میکنیم.درست شد میگمتون.
متوجه شدیم که چه باگی میخواهید
Amin007
April 16th, 2016, 18:45
در ثبت نام ایمیل ارسال نمیشه.
لاگین هم نمیشه کرد چک کنید.
RealHAM
April 16th, 2016, 20:35
در ثبت نام ایمیل ارسال نمیشه.
لاگین هم نمیشه کرد چک کنید.
فرایند تایید ثبت نام به صورت دستی انجام می گیرد برای همین
Sent from my SM-A510F using Tapatalk
- - - Updated - - -
در ثبت نام ایمیل ارسال نمیشه.
لاگین هم نمیشه کرد چک کنید.
پیام خصوصی شما مشاهده و پیاخ داده شد
Amin007
April 16th, 2016, 21:36
برای ویبولتین 4 پلاگین دارید؟
تیکت زدم ولی تیکت برام دیده نمیشه و نمیتونم پیداش کنم
Amin007
April 16th, 2016, 21:51
بهتره برای مسائل امنیتی توی انجمن آشیانه تاپیک بزنید بهتر نتیجه میگیرید.
alirezakaj
April 16th, 2016, 22:19
درگاه پرداخت اینترنتی (http://go.shopkeeper.ir/?url=http%3A%2F%2Fpiratepay.ir%2F) پایرت پی از امروز قصد دارد به ازای دریافت گزارش باگهای امنیتی و راه حل جلوگیری از آن مبلغ 1,000,000 ریال به گزارش دهنده پرداخت نمایید، لطفا گزارشهای خود را به ایمیل security-bugs@piratepay.ir ارسال نمایید
تا منظورتون از باگ امنیتی چی باشه
از نظر امنیت شبکه که کاملا سایتتون مشکل داره
اما بقیه چیز ها به عهده بقیه کاربرا باشه
RealHAM
April 16th, 2016, 23:17
برای ویبولتین 4 پلاگین دارید؟
تیکت زدم ولی تیکت برام دیده نمیشه و نمیتونم پیداش کنم
متاسفانه برای ویبولتین پلاگین نداریم
- - - Updated - - -
بهتره برای مسائل امنیتی توی انجمن آشیانه تاپیک بزنید بهتر نتیجه میگیرید.
از پیشنهاد شما سپاسگذارم
- - - Updated - - -
تا منظورتون از باگ امنیتی چی باشه
از نظر امنیت شبکه که کاملا سایتتون مشکل داره
اما بقیه چیز ها به عهده بقیه کاربرا باشه
از راهنمایی شما سپاس گذارم
IrIsT
April 16th, 2016, 23:54
تا منظورتون از باگ امنیتی چی باشه
از نظر امنیت شبکه که کاملا سایتتون مشکل داره
اما بقیه چیز ها به عهده بقیه کاربرا باشه
سلام و درود
باگشون بهشون گفته شده و صبح بهشون گفتم.حتی گفتم میتونمم پشتیبانیشون باشم و پاسخ درستی دادند
ایشون فقط cms رو لازم دارند.باگ cms چون فایل های بسیار کمی دارند و همرو چک کردم،فقط دوتا دارند.که یکی گزارش شد یکی دیگم انشالله فردا تکمیل میشه
فردی گفتند که میتوانند دکمه پاور سرور را بزنند.کانفیگ همین سرور را با 200 انجام میدم
اگر شما تونستید کلا سرور را کاملا برای همیشه داون کنید،10 میلیون نقد بهتون واریز میکنم
اما اگر نتوانستید،فقط در حد پنج دقیقه یا دیداس های معمولی بود،که اصلا به سرور ربطس نداره،پول کانفیگ سرور + 200ت دیگه بدین.حله؟باگش واسا خودتون.فقط تست کنید
چندتا زامبی لا یک دیداسر خوب،راحت خیلی سایت هارو میشا خوابوند.دیگه کار شاخی نکردین
قدرتونو نگه دارید که هاست خودتون نخوابه یا اینکه برید سایت های ضد ایرانی رو خاموش کنید.
اگر مدیر سایت رضایت داشتند و شما رضایت داشتین بگید و دو روز برای کانفیگ بهم فرصت بدین.قبول؟
من نمیدونم این چه رسمیه،استارتر واسه پورتال میگن،یکی واسه سایت سوال میپرسه.(آشیانه مگه مسائل امنیتی هم رسیدگی میکنند)داخل همین فروم افراد کارآمد هستند
یا یک سوال دیگه میپرسن یا ....
فقط تنها پست های مفید،بجز جوابای من،این دوستمون که واسه سرور گفتند.این نکترم من بهشون گفتم.
لطقا بحث رو به کل کل و ادعا و سوالای بی مورد نکشونید
اگر میتونید کمک کنید و مشکل امنیتی ایشونو پیدا کنید
شما واسه داون گردن میگید.ایشون میگن من فقط باگ های پورتال رو میخوام.
ختم کلام،بخاطر اینکه فایل ها کمه و بهتون مواردی رو گفتم،دیگه چیزی نیست.
فقط سرور.که بهتون گفتم.
فقط این مورده.دیگه چیزی نیست.
ختم کلام و گفتم
استارتر عزیز اگر کمک خواستید شمارمو دارید.در تماس باشید.موفق باشید
viasky
April 17th, 2016, 00:17
مایل باشیدبامبلغ ۵۰۰یورو
تماممواردامنیتیشمات وسطیکی ازمطرحترین گروه هکرهای فرانسوی مورد بررسی قرارخواهد گرفت
بنده فقطبهعنوان واسطه عملمیکنم
موفقباشید
RealHAM
April 17th, 2016, 00:40
جایزه دوم نیز پرداخت شد
https://transfer.sh/xBgrG/1460836977.png
- - - Updated - - -
مایل باشیدبامبلغ ۵۰۰یورو
تماممواردامنیتیشمات وسطیکی ازمطرحترین گروه هکرهای فرانسوی مورد بررسی قرارخواهد گرفت
بنده فقطبهعنوان واسطه عملمیکنم
موفقباشید
از لطفا شما بسیار سپاس گذارم در مرحله اول دوست داریم دوستان ایرانی کمکون کنند در مراحل بعد از شما کمک خواهیم گرفت، باز هم لطف پیشنهاد شما سپاس گذاریم
IrIsT
April 17th, 2016, 01:06
مایل باشیدبامبلغ ۵۰۰یورو
تماممواردامنیتیشمات وسطیکی ازمطرحترین گروه هکرهای فرانسوی مورد بررسی قرارخواهد گرفت
بنده فقطبهعنوان واسطه عملمیکنم
موفقباشید
سلام و درود.
میتونید اسم تیم را بگید؟اگه تونستید در خصوصی بگید.چون داخلچندتاشون عضوم.حتی هک فروم
با 200$ تضمین کامل سرور و اسکریپت.اگر تونستید مشکلی پیدا کنید،مشکل برطرف میشه و پول بازگشت میخوره.اما همینطوری سرور امن میمونه
با ضمانت.
با اکثر تیم های خارجی و ایرانی کار میکنم
با کمترین قیمت بهترین کیفیت و در اختیار میذارن.با قیمت پایین
یک شخص ایرانی هم با 200$ سرورتونو کانفیگ میکنه تضمینی و اسکریپتتون رو هم ساپورت میکنه
اسم نمیبرم.اما هر موقع قطعی شد، اسمشو میگم.کسیه که خیلی ها به اسمش قسم میخورن
با کمترین قیمت بهترین کیقیت و خود ایرانی ها انجام میدن.با ضمانت.
حتی از این قیمت کمتر هم،راه کارهایی است که اگه خواسته باشن به مدیر سرور خواهم گفت گه دیگه هزینشون زیاد نشه
سوتفاهم نشه دادا،فقط سر قیمته.چوم با خارجی ها کار میکنم و کارشون اکسپلوست و باگه.
حتی توی فروم ها یک یوزر محفی دارم که مدیر هستش.واسه این اسم و پرسیدم
نظر شما هم کاملا برای بنده محترم می باشد
اما یک اسکریپت کم حجم،ارزش 500$ نداره
300ت،کارت کاملا راه میفته.
بازم تشگر از viasky عزیز.
viasky
April 17th, 2016, 01:17
نه خواهشمیکنم
هدف بندههم کمکبه ایشون هست
یک فرد ایرانی انجام بده که چه بهتر
گروه
Nantes Anonymous
معرفی کردم ،مشکلی پیش نمیاد
در هر صورت امیداروم کارشون به خوبی پیش بره
موفق باشید
IrIsT
April 17th, 2016, 09:13
با سلام
گروه Nantes شاما چند فرد یک نفر آمریکایی کانادایی می باشد که دشمن تمام عیار سایت های ایرانی است
البته تو این گروه فعلا کار خاصی نکرده و این چند مدته امنیت سایت ها هم بالاست
اما این شخص که میشه گفت نفر دوم گروهه،فقط اطلاعات مهم پخش میکنه
گروه زیاد بزرگی نیستن که اینطوری که گفتم.یک تیم هستش.مثل ماها که تیم داریم.
توی رتبه تیم های هکینگ تو جهان توی 100 تا نیست.ولی کارشون هیچ رد یا تایید نمیشه
فقط چیزایی که میدونم و یک چیزای دیگه هم نمیشه گفت
ممنون داداش عریز viasky عزیز بابت معرفی.در کمک کردن شما به دیگران هیچ شکی نیست.و تشکر ار شما
اما ایرانی خودمون به نظرم بهتره.چون این اسکریپت که جهانی نیست که بخواد کل جهان اسکن کنن یا باگ بزنن
حالا سایت های ما باگ رسرچرا را میگید که چون باگ میذاریم،بازدید خارجی داره
الان صفحه اول سایت من http://iedb.ir به جدیت میگم نصفش خارجیه
تو این حالت اره
اما برای سایت ایشون ایرانی خیلی بهتره
کل صفحاتشون سرجمع 10 تا نمیشه
اسکریپت رو داشته باشم تو نیم ساعت کل مشکلات و ضعف هاشو به صورت txy میکنم میدم بهشون
از low تا high
یک سرور بسیار خوب که آننی دیداس و فایروال داشته باشه میتونن به 100 بگیرن.حالا یکم کمتر و بیشتر
اسکریپتشونو اگه حتی 200ت هم کامل کنن،میشه 300ت
100 تو هم پول لایسنس و ...
در کل 400 یا 500
این بهتره و به صرفه تره.حتی اگه 100 توی باگ یابیشم زیادتر بدن بازم به صرف تره و کار خود ایرانی هستش.
درست؟
مثلا همین سروری که viasky عزیز خودتون واسه فروش گذاشتین.قیمت 75 بود فکر کنم.
این کافی نیست؟
اما 500 یورو به نظر من فیس نما یا سایت های دیگه هم این قیمت زیاده.غیر از اینه؟
چون این سایت هم کلا ایرانی هستش و کم حجم.به نظرم خود ایرانی ها البته با انتخاب درست فرد،بهترین گزینست.
با تشکر از همگی
viasky
April 17th, 2016, 09:40
بستگی به حساسیت و سیاست کاری مالک سرور و وب سایت داره
ما نمی تونیم معیاری و مشخص کنیم
در نتیجه یک نفر می تونه تا 2 هزار یورو هم هزینه کنه برای این مورد و ما نباید بگیم که کافیه
همه چیز به ایشون بستگی داره
گروه Nantes همه فرانسوی هستند دوست گرامی و بنده با یکی از اعضای این گروه تقریبا آشنایی دارم
حتی کی از اعضا خانمی هستند به نام شرلوت ( فرانوسی = شغ لوت)
موفق باشید
IrIsT
April 17th, 2016, 12:25
سلام
یک باگ دیگه از نوع xss پیدا شد.
اگر نیاز دارید بگید.
RealHAM
April 17th, 2016, 12:36
همه باگ های xss قبلاً توسط یکی از دوستان مشروحاً ارسال شده است، لطفاً به دنبال باگ های دیگری باشید
IrIsT
April 17th, 2016, 14:02
ر
همه باگ های xss قبلاً توسط یکی از دوستان مشروحاً ارسال شده است، لطفاً به دنبال باگ های دیگری باشید
سومی هم پیدا شد
اما شما پشت تلفن گفتین که این باگ xss رو دیروز یکی گفته و پرداخت کردین
اما الان میگید همه باگ های xss گزارش شده.به یکی که همه نمیگن.دوتا باگ گزارش شده به قول خودتون کا یکیش فقط xss بود
اما جای سواله،چرا باگ من فوری پتچ شد.اما این باگی که دادم هنوز پتچ نشد؟
فکر کنم باگ سوم رو نگه دارم یهتره
اون یکی که گفتم بایپس لاطمه،اون هنوز هست.بجز این سومی.اما بایپس نشده هنوز.ولی مشکل هست کا باید کامل شه
بجز سومی،اینو اگه کامل شد میدمتون.
موفق بتشیو
RealHAM
April 17th, 2016, 14:15
ر
سومی هم پیدا شد
اما شما پشت تلفن گفتین که این باگ xss رو دیروز یکی گفته و پرداخت کردین
اما الان میگید همه باگ های xss گزارش شده.به یکی که همه نمیگن.دوتا باگ گزارش شده به قول خودتون کا یکیش فقط xss بود
اما جای سواله،چرا باگ من فوری پتچ شد.اما این باگی که دادم هنوز پتچ نشد؟
فکر کنم باگ سوم رو نگه دارم یهتره
اون یکی که گفتم بایپس لاطمه،اون هنوز هست.بجز این سومی.اما بایپس نشده هنوز.ولی مشکل هست کا باید کامل شه
بجز سومی،اینو اگه کامل شد میدمتون.
موفق بتشیو
باگ های این چنینی توسط یکی از دوستان به مشروح همراه با تصاویر و مستند سازی برای ما ارسال شده است
http://8pic.ir/images/2i6pqijt0ha77fxy7jov.png
همچنین موردی نمی بینم که دروغ بگویم ما به خاطر مورد اولی که فرمودید یعنی استفاده از کپچا در فرم های ورود و ثبت نام جایزه دادیم اگر هم خوب توجه کرده باشید متوجه شده اید که ما کپچا استفاده نکردیم چون از قبل روش جلوگیری ازش طراحی شده بود اما به خاطر ترغیب شما و سایر دوستان به شما جایزه پرداخت نمودیم
از همکاری شما سپاس گذاریم
hasanazizi
April 17th, 2016, 22:01
سلام لطفا شماره تلفن بنده را تایید نمایید فک کنم اشتباه زدمش واسم پیامک نیومده تقریبا بیشتر از 8 ساعته
ایمیل تایید شدس
www.hasanazizi@gmail.com
شماره تلفن
09184613882
- - - Updated - - -
سلام ازتون خواهشمندم تمامی باگ هارو ارسال نمایید به صورت خصوصی فقط نوع و عنوانشون چون دارم سایتتون رو انالیز میکنم اونم با هشت نرم افزار شاید ما هم هذیه رو بردیم دادیم جای تمدید سرور ( ببینم شانس داریم یا نه ) :)
RealHAM
April 17th, 2016, 22:12
سلام لطفا شماره تلفن بنده را تایید نمایید فک کنم اشتباه زدمش واسم پیامک نیومده تقریبا بیشتر از 8 ساعته
ایمیل تایید شدس
www.hasanazizi@gmail.com (http://www.hasanazizi@gmail.com)
شماره تلفن
09184613882
- - - Updated - - -
سلام ازتون خواهشمندم تمامی باگ هارو ارسال نمایید به صورت خصوصی فقط نوع و عنوانشون چون دارم سایتتون رو انالیز میکنم اونم با هشت نرم افزار شاید ما هم هذیه رو بردیم دادیم جای تمدید سرور ( ببینم شانس داریم یا نه ) :)
مجدد برای شما ارسال شد
ما در خدمتیم، اگر باگ جدید یافتید به صورت مکتوب برای ما ارسال فرمایید
سپاس گذارم
viasky
April 17th, 2016, 22:26
باسلام
تا الان چند باگ پیدا شده در مجموع؟
RealHAM
April 17th, 2016, 22:36
باسلام
تا الان چند باگ پیدا شده در مجموع؟
دو مورد، یک مورد کپچا بود و دومی هم باگ xss
spsgorgan
April 17th, 2016, 23:20
یک موردی که سایت داره پس ثبت نام کاربر به صفحه ای به شکل زیر میره :
https://piratepay.ir/signup.php?msg=success&id=b4b147bc522828731f1a016bfa72c073
نکته ای که اینجا هست :
1 : چرا شما کد هش md5 رو به این سادگی گذاشتید ؟؟ دیکد شده این متغییر عدد 00 میشه !
2 : اگر متغییر الکی نیست چرا واسه همه ثبت نام ها همینه ؟ و اگر الکیه و مثلا رد گم کنی شما متغییر id هم نزار و یه چیز الکی بزار.
موفق باشین
IrIsT
April 17th, 2016, 23:33
سلام.منم همین سوال و داشتم.
اما شاید دلیل دارند
با اجازه استارتر،از این تاپیک،اشتراکم و بر میدارم
امیدوارم به هدفتون برسید و موفق باشید
کاری بود pv یا کار اسکن هرجا.pv در خدمتم
با اجازه
خدانگهدار
RealHAM
April 17th, 2016, 23:33
یک موردی که سایت داره پس ثبت نام کاربر به صفحه ای به شکل زیر میره :
https://piratepay.ir/signup.php?msg=success&id=b4b147bc522828731f1a016bfa72c073
نکته ای که اینجا هست :
1 : چرا شما کد هش md5 رو به این سادگی گذاشتید ؟؟ دیکد شده این متغییر عدد 00 میشه !
2 : اگر متغییر الکی نیست چرا واسه همه ثبت نام ها همینه ؟ و اگر الکیه و مثلا رد گم کنی شما متغییر id هم نزار و یه چیز الکی بزار.
موفق باشین
به نظرتون این باگ امنیتی است ؟ آیا با این روش می توان به سیستم نفوذ کرد ؟
MR.Alone
April 28th, 2016, 00:39
یکی از سایت هایی که از درگاه شما استفاده میکنه جهت تست فرایند خرید بگذارید
RealHAM
April 28th, 2016, 08:20
یکی از سایت هایی که از درگاه شما استفاده میکنه جهت تست فرایند خرید بگذارید