توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : اخطار! ماژول زرین پال حفره امنیتی دارد !!!
m1l4d
December 30th, 2010, 20:19
سلام! امروز همین طوری به سایت سبد خرید رفتم و دیدم همچین چیزی نوشته شده :
اخطار! ماژول زرین پال حفره امنیتی دارد !!!
اخطار!!
با توجه به انتشار ماژول غیر رسمی سرویس پرداختی موسوم به زرین پال که در سایت این سرویس قابل دریافت است، شرکت رادفا اعلام می دارد فایل ارائه شده به هیچ وجه مطمئن نبوده و امکان هک کل سیستم و انتشار اطلاعات مهم از قبیل رمز عبور مدیریت، همچنین امکان از دست رفتن اطلاعات محصولات، مشتریان و سایر بخش های فروشگاه را فراهم می سازد.
لذا خواهشمندیم به هیچ وجه از این ماژول استفاده نفرمایید. در صورت استفاده و به وجود آمدن مشکل، شرکت هیچ گونه مسئولیتی در قبال مشکل نخواهد داشت!:66:
جزئیات فنی:
در دو فایل مربوطه (modules/payment/zarinpal.php) و (includes/zarinpal.php) مقادیری از طریق متد get و post دریافت شده به طور مستقیم به عنوان دستورات SQL بر روی دیتابیس اجرا می گردد که امکان اجرای دستورات SQL injection را برای هکر فراهم می سازد.
با اجرای یک injection ساده توسط هکر، نفوذ به اطلاعات فروشگاه میسر خواهد شد.
جناب امیری باید بیان توضیح بدن یا اخویشون!
شاید مشکلی نباشه و سبد خرید داغش کرده موضوع رو!
Warez-Host.IR
December 30th, 2010, 20:27
منتظر میمونیم تا علی امیری بیاد توضحات تکمیلی را ارائه کنه
ولی اگر مشکلی داشت تا الان نصب سایتهای فروشگاهی و ... ایران رو هوا بود
itjavani
December 30th, 2010, 20:29
دستشون درد نکنه راه نفوذ و همه چیز رو گفتن!
عجب شرکتی!!!!!
اگر هم موردی بوده ابتدا باید به خود آقای امیری میگفنتن تا برطرف کنند و در ضمن لینک منبع خبر رو بگید...
aghdaee
December 30th, 2010, 20:35
من هم منتظرم:105:
ولی حالا تا آقای امیری تشریف بیارن و توضیحات لازم رو بدن ما باید چیکار کنیم؟@-)
راستی این مشکل فقط برای فروشگاه ها هستش یا whmcs هم این مشکل رو داره؟
m1l4d
December 30th, 2010, 20:36
دستشون درد نکنه راه نفوذ و همه چیز رو گفتن!
عجب شرکتی!!!!!
اگر هم موردی بوده ابتدا باید به خود آقای امیری میگفنتن تا برطرف کنند و در ضمن لینک منبع خبر رو بگید...
معمولا اسكريپت هاي پرداخت و ... رو به صورت sample مي نويسند تا توسعه دهنده بتونه ازش استفاده كنه و نه كپي برداري خام.
در اينجا هم بايك intval يا شرط ساده ميشه مشكلات احتمالي رو رفع كرد.
انتشار اين خبر هم به اين صورت نشان از اوج كار حرفه اي اين شركت هست ;)
NovinServer
December 30th, 2010, 21:08
اگر این مشکل روی ماژول های whmcs هم باشد و این باپ هم پابلیک شود بسیاری از فروشندگان بابت این ماژول شاید خسارت باور نکردنی بخورند !
بهتره به جناب امیری اطلاع داده شود تا به این موضوع پاسخ روشنی بدهند !
AmirHosein
December 30th, 2010, 21:09
معمولا اسكريپت هاي پرداخت و ... رو به صورت sample مي نويسند تا توسعه دهنده بتونه ازش استفاده كنه و نه كپي برداري خام.
در اينجا هم بايك intval يا شرط ساده ميشه مشكلات احتمالي رو رفع كرد.
انتشار اين خبر هم به اين صورت نشان از اوج كار حرفه اي اين شركت هست ;)
بلی درسته و به نظر من چیزی از ارزش های انسانی مدیریت سامان سیستم کم نمیکنه و.. فکر کنم سبد خرید به خاطر انتشار رایگان این خبر رو پخش کرده تا اونای که نال مصرف میکنن بترس!!!!!!
shamimi
December 30th, 2010, 21:15
اگر همچين مشكلي وجود داشته باشه پس اون امتحان هاي امنيت بر روي سيستم كشك بوده ؟
amirizadi
December 30th, 2010, 21:52
بهترین کار اینه که صبر کنیم جناب امیری تشریف بیارن و پاسخ بدن
---
December 30th, 2010, 22:21
کسی تست کرده راه نفوذ رو یا همینطوری اومدید یه خبری رو نقل کردید یا کشش میدید ؟
پ ن : اعلام می کنم سیستم مدیریت whmcs حفره امنیتی بزرگی به اندازه تونل جاده چالوس داشته لذا استفاده از آن توصیه نمی گردد .:-|
aghdaee
December 30th, 2010, 22:40
پ ن : اعلام می کنم سیستم مدیریت whmcs حفره امنیتی بزرگی به اندازه تونل جاده چالوس داشته لذا استفاده از آن توصیه نمی گردد .:-|
میشه بفرمایید چه حفره ای؟
M-Soltani.ir
December 30th, 2010, 22:47
آقای امیری درگیر یه سری مشکلاتی هستند
تایپیکشون رو دیدید که...
میان و مشکل رو بررسی میکنند :)
---
December 30th, 2010, 22:54
:)) من شایعه رو پراکنده کردم شما هم یه حفره از خودت بساز اعلام کن
باگ xss داره :دی
mr.he3am
December 30th, 2010, 23:05
تو ایران کلا اینجوری هست هر کس در حال پیشرفت هست دیگران میخوان به یک شکلی خرابش کنند
AmirHosein
December 30th, 2010, 23:08
موقت قفل میشه تا خود علی اقا بیان و جواب بدن
این طور حاشیه درست نمیشه
موفق باشید=;