با سلام


final update:
پایان مدت زمان در دسترس بودن دامنه برای هک

به تازگی در حال کار بر روی یک اسکریپت هستیم که توسط یکی از دوستان برنامه نویس در کشور آمریکا نوشته شده و در حال حاظر در حال بررسی مشکلات و باگ ها و امنیت کلی آن هستیم

از آنجایی که امنیت برای ما جایگاه ویژه ای دارد لذا از تمامی هکر ها و افرادی که در هک و کشف حفره های امنیتی اسکریپت ها و سیستم های تحت وب php تجربه دارند دعوت می نماییم تا این اسکریپت را بررسی کرده و حتی اگر می توانند آن را هک کنند و نقص های امنیتی و حفره های آن را به ما اطلاع دهید.

جایزه هک مبلغ 500 هزار تومان می باشد و به اولین شخصی که قادر به کشف حفره و هک این سیستم باشد پرداخت خواهد شد.


***
00:48AM: مبلغ هک به 50 هزار تومان افزایش داده شد.
update2: مبلغ هک به 100 هزار تومان افزایش داده شد.
update3: مبلغ هک به 200 هزار تومان افزایش داده شد.
update4: مبلغ هک به 500 هزار تومان افزایش داده شد.
آدرس :


hack me-wht - Login
لینک ورود حذف شد.

اطلاعات ورود 1:
اطلاعات ورود حذف شدند.

اطلاعات ورود 2:
اطلاعات ورود حذف شدند.

اطلاعات ورود 3:
اطلاعات ورود حذف شدند.

با این کار شما ما را در ایجاد محیطی ایمن تر یاری خواهید کرد و ما از این همکاری پیشاپیش سپاسگذاریم

مدت زمان در دسترس بودن دامنه برای هک: 72 ساعت -* امکان تمدید وجود دارد

-----------------------------------------------------------
update:
لطفا اگر می توانید هک کنید
شرایط بسیار ساده تعیین شده: اگر می توانید هک کنید.
هک این سیستم به میزان مبلغ تعیین شده برای ما در شرایط کنونی ارزش دارد و نه بیشتر
خواهشمندم از ارسال پست های اسپم متعدد و ... در این تاپیک خودداری کنید.

با تشکر



final update:
پایان مدت زمان در دسترس بودن دامنه برای هک

با تشکر از تمامی عزیزانی که در این تاپیک ما را یاری کردند

با سلام

به تازگی در حال کار روی یک اسکریپت هستیم که توسط یکی از دوستان برنامه نویس در کشور آمریکا نوشته شده و در حال حاظر در حال بررسی مشکلات و باگ ها و امنیت کلی آن هستیم

از آنجایی که امنیت برای ما جایگاه ویژه ای دارد لذا از تمامی هکر ها و افرادی که در هک و کشف حفره های امنیتی اسکریپت ها و سیستم های تحت وب تجربه دارند دعوت می نماییم تا این اسکریپت را بررسی کرده و حتی اگر می توانند آن را هک کنند!
و نقص های امنیتی و حفره های آن را به ما اطلاع دهید.

جایزه هک مبلغ 10 هزار تومان می باشد و به اولین شخصی که قادر به کشف حفره و هک این سیستم باشد پرداخت خواهد شد.


آدرس :

hack me-wht - Login (http://xhack.spaceiran.com/)

اطلاعات ورود 1:
usename: demo
password: demo

اطلاعات ورود 2:
usename: demo2
password: demo2

اطلاعات ورود 3:
usename: demo3
password: demo3


با این کار شما ما را در ایجاد محیطی ایمن تر یاری خواهید کرد و ما از این همکاری پیشاپیش سپاسگذاریم

مدت زمان در دسترس بودن دامنه برای هک: 72 ساعت -* امکان تمدید وجود دارد

با تشکر

با سلام.

خنده دار هست !

گزارش باگ 10000 تومان.

من 1000000 تومان ميگيرم گزارش ميدم.

با تشكر.

با سلام.

خنده دار هست !

گزارش باگ 10000 تومان.

من 1000000 تومان ميگيرم گزارش ميدم.

با تشكر.

با سلام
متاسفانه این امکان وجود ندارد
شاید دوستانی باشند که تنها دلیل همکاری آن ها مبلغ و ... نباشد

ممنون

Mr Password Error
Type: 404
Message: The theme action file "/home/xhack/public_html/user/themes/standard/pages/faviconico/index.php" could not be found

Mr Password Error
Type: 404
Message: The theme action file "/home/xhack/public_html/user/themes/standard/pages/faviconico/index.php" could not be found

ممنون
اما منظور فقط مشکلات امنیتی هست

مطمئنا امنیت براتون اهمیت زیادی نداره چون اگه داشت با یک تیم هکر مذاکره می کردید و در ازای مبلغی باگ های سیستمتون رو پیدا می کردید :)

نه اینکه 10 هزارتومان برای امنیت خرج کنید .

:| عزیز 4 تا فایل نوشتی بعد باگ هم می خوای پیدا کنی
کل امکانات این یه دسته بندی
پروفایل
تعریف پسورد هست !

الان این کارش ذخیره کردن پسود ها بر اساس دسته بندی هست !
چه کاریه خب !!!
672 domains hosted on IP address 5.9.74.92
672 سایت هم که هاست شده ، آخر امنیت یعنی !

من برنامه نویسم .
روی سورس نظر میدم ، اگه براتون ممکنه!
فریم ورکی که باهاش برنامه رو نوشتن رو هم بگید خوبه .

جایزه هک مبلغ ناچیز 10 هزار تومان می باشد و به اولین شخصی که قادر به کشف حفره و هک این سیستم باشد پرداخت خواهد شد.

عمو 10 تومن چیه که باز به اولین نفر هم میخواید بدید ؟ من واسه باز کردن این سایت 20 تومن میگیرم اومدی میگی 10 تومن واسه گزارش ؟!
چیزه خاصی نداره . ورودی هارو چک کن ، قسمت Forgot pass هم CSRF نداشته باشه .
بقیشو میتونی از گوگل ببینی . کسی واست اینجور چیزارو با 10 تومن گزارش نمیده :)
موفق باشی.

عمو 10 تومن چیه که باز به اولین نفر هم میخواید بدید ؟ من واسه باز کردن این سایت 20 تومن میگیرم اومدی میگی 10 تومن واسه گزارش ؟!
چیزه خاصی نداره . ورودی هارو چک کن ، قسمت Forgot pass هم CSRF نداشته باشه .
بقیشو میتونی از گوگل ببینی . کسی واست اینجور چیزارو با 10 تومن گزارش نمیده :)
موفق باشی.

ببخشید شما الان 75 درصد مسخره کردی
10 درصد هم گفتی توی گوگل بسرچه
14 هم چیزی گفتی که همه می دونند
1 درصد گفتی "موفق باشید"
یعنی الان شما الان چی گفتی که 10 هزار تومن بیارزه ؟

فکر نکنم با این مبلغ بتونید به نتیجه برسید !

ببخشید شما الان 75 درصد مسخره کردی
10 درصد هم گفتی توی گوگل بسرچه
14 هم چیزی گفتی که همه می دونند
1 درصد گفتی "موفق باشید"
یعنی الان شما الان چی گفتی که 10 هزار تومن بیارزه ؟

عزیز من ، اون 2 تا موردی که گفتم public عرض کردم :) پس حتما لازم نبوده اون 10 تومن !
اون 2 مورد رو اگه همه میدونستن شما میگفتی خب.
شما هم 100٪ از پستت اسپمه .
موفق باشی

با سلام
من فکر می کنم این دوستمون در مورد تست نفوذ پذیری اطلاعات کاملی ندارند لذا بنابر این اطلاعات که دارند قیمت را اعلام کرده اند.
ببینید به طور کلی ما در این جا با سه روش برای پویش آسیب پذیری ها مواجه هستیم :

White box ، خواندن و آنالیز سورس کدهای برنامه و کشف آسیب پذیری ها با مطالعه تمام و کمال منابعی است که در دسترس کارشناس امنیت می باشد و او با آشنایی با زبان برنامه نویسی آن سیستم سعی خود را در کشف نقاط تاریک کد می نماید.
Black Box ، تست کور ، تستی که هیچ اطلاعاتی از نحوه ساختار برنامه در آن موجود نیست ، و نفوذ گر فقط با دانشی که از مواجهه با این برنامه ها به دستی آورده ، می تواند ساختاری مبهمی از برنامه مورد تست داشته باشد. (مباحث فازینگ در این مرحله مطرح میگردند )
Gary Box : تست نفوذ پذیری ای است که نفوذ گر منابع اولیه (همانند برنامه اصلی ) و نیز برخی از معرفی نامه ها و نوشتار های کمکی برنامه را در دست دارد .

که به طور کلی درایران روشهای اول و دوم بیشتر متداول می باشد و روش اول که به white box یا جعبه سفید معروف می باشد . که در این حالت source code ها توسط برنامه نویس در اختیار تیم تحلیل و بررسی قرار می گیرد و تیم تحلیل گر به ازای آنالیز کد ها به صورت خط به خط هزینه را برآورد می نماید و به شرکت و یا تیم برنامه نویسی اعلام می نماید که در صورت توافق قرار داد همکاری عقد می گردد . در این حالت مشخص می شود به عنوان مثال بررسی هر خط کد معادل 5000 هزار تومان می باشد . که در این حالت با توجه به بزرگی و گشتردگی کدها بطبع هزینه بررسی نیز بیشتر می شود. دراین قسمت تیم تحلیل گر مباحث مربوط به secure coding را نیز می تواند ارایه دهد که تصمیم گیری آن با تیم تحلیل گر می باشد.

--- در حالت دوم که موسوم به BlackB0x یا جعبه سیاه می باشد . تیم تحلیل گر بدون دسترسی داشتن به Soruce Code ها اقدام به بررسی و پیاده سازی و شبیه سازی حملات متداول بر روی وب سایت مربوطه می نماید که در صورت حصول دسترسی و یا عدم حصول دسترسی مبلغی از شرکت طرف قرار داد دریافت می نماید که معمولا مبلغ دریافتی در صورت عدم دسترسی 80 % کل هزینه می باشد که با گرفتن دسترسی 100 % پول دریافت می گردد.

چون حالت سوم کمتر استفاده می گردد در صورت نیاز اعلام نمایید تا این مبحث را نیز توضیح دهم.

در تمام مراحل قرارداد کتبی بین دو طرف امضا می گردد. و تعهداتی نیز در این قرارداد لحاظ می گردد.

با توجه به تفاسیر ذکر شده خودتان قضاوت نمایید که آیا کسی این کار را با هزینه اعلام شده از ناحیه شما انجام می دهد یا خیر.
ممکن است برخی از همکاران به طور کامل با روش های تست نفوذ پذیری آشنایی کاملی نداشته باشند که باعث شوند مببلغ کمتری دریافت شود . که بنده طی 8 سالی که تجربه در این زمینه کسب نموده ام بعید می دانم تیمی وجود داشته باشد که در مورد روشهای ذکر شده اطلاعات و آشنایی جامعی داشته باشد و سپس با هزینه ای بسیار بسیار پایین این اقدام را انجام دهد.
اگر احیانا تمایل به عقد قرار داد داشتید می توانیم دراین مورد مذاکره نماییم.

داداش این پول رو ببری بقالی الان بهت یه بستنی هم نمیدن میخوای باهاش سایتت رو دباگ کنی !!!
اگه امریکایی ها نوشتن مطمئن باش هزینه زیادی هم میگیرن و کسی که هزینه زیادی بپردازه واسه دباگ نمیاد 50 بذاره !!! ضمنن دباگ کردن باید با خود سورس انجام بشه . مبلغ رو ببر رو 500 تومان من همه باگ هاشو واست در میارم . SQL Injection . CRSF . XSS , Session Hijack و....

دوست من به10هزار چی میدن اخه؟؟؟؟
خودت بودی عکس العملت چی بود اخه؟؟؟
ای بابابا10هزرابستنی به زور میدن اونوقت تومیخوای سایتت رو خالی ازحفره کنی دادا؟؟؟؟

عزیز من ، اون 2 تا موردی که گفتم public عرض کردم :) پس حتما لازم نبوده اون 10 تومن !
اون 2 مورد رو اگه همه میدونستن شما میگفتی خب.
شما هم 100٪ از پستت اسپمه .
موفق باشی
خود شما فرمودید این اطلاعات رو هیشکی با 10 تومن نمی داد
در مورد اون مواردی رو که گفتید بدیهی بودند مثل اینکه شما می گی ماست سفیده و احتیاج به چنین اطلاعات بدیهی نیست
و در مورد سومی همه ازادند که هر جور که دوست دارند فکر کنند شما هم که کار خلاف نمی کنی فقط اون طوری فکر می کنی و من مشکلی با اون ندارم
با تشکر

خدمت استارتر محترم عرض کنم ، اگه زرنگ باشید توی همین تاپیک مباحث خوبی در مورد امنیت اشاره شد .
بهتره خودتون دست به کار بشید

اگه نیاز ندارید که داده های html رو ذخیره کنید ! از تابع strip_tags استفاده کنید ، نفوذه XSS حل میشه .
برای session hijack که معمولاً روی هاستهای اشتراکی است ، بهتره یوزر ایجنت و آی پی یوزر لاگین شده رو هم توی دیتابیس ذخیره کنید و صرفاً فقط آی دی یوزر رو از سسشن بخونید و هربار اطلاعات یوزر رو با استفاده از آی دی که توی سسشن موجود هست از دیتابیس بخونید و چک کنید .

برای sql injaction از escape نوع درایور دیتابیستون استفاده کنید همچنین از لیست سفید هم استفاده کنید . یا از preg_match برای مقادیر نام و نام کاربری و ...
برای CRSF هم یک مقدار رندوم ، در هنگام لاگین توی کوکی کاربر قرار بدید ، و در آدرسهایی که استفاده میکنید این مقدار رو بصورت کوئری استرینگ قرار بدید و در هر صفحه مقدار کوئری استرینگ رو با مقدار کوکی ست شده چک کنید که صحت صفحه درخواستی مشخص شود . (خواستید بیشتر توضیح میدم .)

اینها رو رعایت کنید امنیت شما بیشتر از 90 درصد تضمین شده هست .
در آخر یه دور با برنامه های havij , Acunetix سایتتون رو چک و اسکن کنید .

موفق باشید:111:

خدمت استارتر محترم عرض کنم ، اگه زرنگ باشید توی همین تاپیک مباحث خوبی در مورد امنیت اشاره شد .
بهتره خودتون دست به کار بشید

اگه نیاز ندارید که داده های html رو ذخیره کنید ! از تابع strip_tags استفاده کنید ، نفوذه XSS حل میشه .
برای session hijack که معمولاً روی هاستهای اشتراکی است ، بهتره یوزر ایجنت و آی پی یوزر لاگین شده رو هم توی دیتابیس ذخیره کنید و صرفاً فقط آی دی یوزر رو از سسشن بخونید و هربار اطلاعات یوزر رو با استفاده از آی دی که توی سسشن موجود هست از دیتابیس بخونید و چک کنید .

برای sql injaction از escape نوع درایور دیتابیستون استفاده کنید همچنین از لیست سفید هم استفاده کنید . یا از preg_match برای مقادیر نام و نام کاربری و ...
برای CRSF هم یک مقدار رندوم ، در هنگام لاگین توی کوکی کاربر قرار بدید ، و در آدرسهایی که استفاده میکنید این مقدار رو بصورت کوئری استرینگ قرار بدید و در هر صفحه مقدار کوئری استرینگ رو با مقدار کوکی ست شده چک کنید که صحت صفحه درخواستی مشخص شود . (خواستید بیشتر توضیح میدم .)

اینها رو رعایت کنید امنیت شما بیشتر از 90 درصد تضمین شده هست .
در آخر یه دور با برنامه های havij , Acunetix سایتتون رو چک و اسکن کنید .

موفق باشید:111:

دوست عزیز اگه striptags باگ xss رو کامل حل میکرد که دیگه این باگ شناخته نمی شد!!
در مورد session hajack دارید اشتباه میفرمایید . برای جلوگیری از این هم باید key لوگین تعربف کرد که انکود شده و ترکیبی از ای پی + یوزر ایجینت + سشن ای دی و ... هست

با سلام.

خنده دار هست !

گزارش باگ 10000 تومان.

من 1000000 تومان ميگيرم گزارش ميدم.

با تشكر.


دوست من به10هزار چی میدن اخه؟؟؟؟
خودت بودی عکس العملت چی بود اخه؟؟؟
ای بابابا10هزرابستنی به زور میدن اونوقت تومیخوای سایتت رو خالی ازحفره کنی دادا؟؟؟؟



داداش این پول رو ببری بقالی الان بهت یه بستنی هم نمیدن میخوای باهاش سایتت رو دباگ کنی !!!
اگه امریکایی ها نوشتن مطمئن باش هزینه زیادی هم میگیرن و کسی که هزینه زیادی بپردازه واسه دباگ نمیاد 50 بذاره !!! ضمنن دباگ کردن باید با خود سورس انجام بشه . مبلغ رو ببر رو 500 تومان من همه باگ هاشو واست در میارم . SQL Injection . CRSF . XSS , Session Hijack و....


لطفا اگر می توانید هک کنید
شرایط بسیار ساده تعیین شده: اگر می توانید هک کنید.
هک این سیستم و امنیت آن به میزان مبلغ تعیین شده برای ما در شرایط کنونی ارزش دارد و نه بیشتر

ممنون



:| عزیز 4 تا فایل نوشتی بعد باگ هم می خوای پیدا کنی
کل امکانات این یه دسته بندی
پروفایل
تعریف پسورد هست !

الان این کارش ذخیره کردن پسود ها بر اساس دسته بندی هست !
چه کاریه خب !!!
672 domains hosted on IP address 5.9.74.92
672 سایت هم که هاست شده ، آخر امنیت یعنی !

ممنون


من برنامه نویسم .
روی سورس نظر میدم ، اگه براتون ممکنه!
فریم ورکی که باهاش برنامه رو نوشتن رو هم بگید خوبه .

متاسفانه این امکان وجود ندارد.
توسط فریم ورک کاملا شخصی و بومی نوشته شده است.