نمایش نسخه قابل چاپ
درگاه پرداخت اینترنتی پایرت پی از امروز قصد دارد به ازای دریافت گزارش باگهای امنیتی و راه حل جلوگیری از آن مبلغ 1,000,000 ریال به گزارش دهنده پرداخت نمایید، لطفا گزارشهای خود را به ایمیل security-bugs@piratepay.ir ارسال نمایید
سایت : http://piratepay.ir
یک سایت وارز انگلیسی هست که میخام روش درگاه وبمانی و ویزا و بیت کوئین و... کار بزارم.
اسکریپت ویبولتین هست.
اگر فرم پرداخت معمولی هم باشه مشکلی نیست.
سلام و درود.
4 تا صفحه گذاشتین.یک لاگین.یک عضویت.یک پلاگین.یک ارتباط با ما
باگ هم میخواین؟اسکریپت باشه بهتره.وگرنه خیلی متغیرها رو مخفی کردین.ولی یک سیستم ساده دیگه چک نداره.
ولی یک ضعف کوچیک رو برای شما فرستادم.ولی اینطوری نمیشه.مثلا من بیام یک html درست کنم با سه صفحه بگم باگ بزنید.این میشه؟
موفق باشید.
با سلام مشکلی نیست قابل ارائه استنقل قول:
نوشته اصلی توسط Amin007
- - - Updated - - -
منظور ما باگ در همه فرآیندها بود، باگ در صفحه های انتقال به بانک یا بازگشت از بانک و api و .. ||| موردی را که ارسال فرمودید را خواندم اما زیاد متوحه نشدم تماس هم گرفتم که مشغول بودیدنقل قول:
نوشته اصلی توسط IrIsT
- - - Updated - - -
مبلغ 1,000,000 ریال از بابت گزارش باگی که آقای http://www.webhostingtalk.ir/member.php?u=65924 گزارش داده بودند به حساب وی واریز شد
https://transfer.sh/tCVFW/1460796843.png
دوستان عزیر حملات دیداش جز باگ های امنیتی یک سایت نیست ، باگ امنیتی یعنی این که چه طوری طی یک فرآیند بتوان سیستم را دور زد، مثلا بتوان به دیتابیس دسترسی پیدا کرد یا تراکنش جعلی ایجاد کرد
سلام و درود
دومین راه هم پیدا شد.
درحال بایپس می باشیم که جوابگو باشه
بایپس شد تماس گرقته میشه.تلگرام هم اگع دارید بدین.
دوستان توجه داشته باشند ما هدفمان پیدا کردن باگ های سایت است نه سرور، یک کم جنبه داشته باشید دی داس کردن و بورت فورس سرور جزو باگ های امنیتی سایت و اسکریپت نیست
نقل قول:
نوشته اصلی توسط RealHAM
ببخشید یا من هستید؟
باگ من از خود پورتاله.دیداس .. نیست.مخصوص خود سایتتون
اما بایپس نمیشه.داریم کار میکنیم.درست شد میگمتون.
متوجه شدیم که چه باگی میخواهید
در ثبت نام ایمیل ارسال نمیشه.
لاگین هم نمیشه کرد چک کنید.
فرایند تایید ثبت نام به صورت دستی انجام می گیرد برای همیننقل قول:
نوشته اصلی توسط Amin007
Sent from my SM-A510F using Tapatalk
- - - Updated - - -
پیام خصوصی شما مشاهده و پیاخ داده شدنقل قول:
نوشته اصلی توسط Amin007
برای ویبولتین 4 پلاگین دارید؟
تیکت زدم ولی تیکت برام دیده نمیشه و نمیتونم پیداش کنم
بهتره برای مسائل امنیتی توی انجمن آشیانه تاپیک بزنید بهتر نتیجه میگیرید.
تا منظورتون از باگ امنیتی چی باشهنقل قول:
نوشته اصلی توسط RealHAM
از نظر امنیت شبکه که کاملا سایتتون مشکل داره
اما بقیه چیز ها به عهده بقیه کاربرا باشه
متاسفانه برای ویبولتین پلاگین نداریمنقل قول:
نوشته اصلی توسط Amin007
- - - Updated - - -
از پیشنهاد شما سپاسگذارمنقل قول:
نوشته اصلی توسط Amin007
- - - Updated - - -
از راهنمایی شما سپاس گذارمنقل قول:
نوشته اصلی توسط alirezakaj
نقل قول:
نوشته اصلی توسط alirezakaj
سلام و درود
باگشون بهشون گفته شده و صبح بهشون گفتم.حتی گفتم میتونمم پشتیبانیشون باشم و پاسخ درستی دادند
ایشون فقط cms رو لازم دارند.باگ cms چون فایل های بسیار کمی دارند و همرو چک کردم،فقط دوتا دارند.که یکی گزارش شد یکی دیگم انشالله فردا تکمیل میشه
فردی گفتند که میتوانند دکمه پاور سرور را بزنند.کانفیگ همین سرور را با 200 انجام میدم
اگر شما تونستید کلا سرور را کاملا برای همیشه داون کنید،10 میلیون نقد بهتون واریز میکنم
اما اگر نتوانستید،فقط در حد پنج دقیقه یا دیداس های معمولی بود،که اصلا به سرور ربطس نداره،پول کانفیگ سرور + 200ت دیگه بدین.حله؟باگش واسا خودتون.فقط تست کنید
چندتا زامبی لا یک دیداسر خوب،راحت خیلی سایت هارو میشا خوابوند.دیگه کار شاخی نکردین
قدرتونو نگه دارید که هاست خودتون نخوابه یا اینکه برید سایت های ضد ایرانی رو خاموش کنید.
اگر مدیر سایت رضایت داشتند و شما رضایت داشتین بگید و دو روز برای کانفیگ بهم فرصت بدین.قبول؟
من نمیدونم این چه رسمیه،استارتر واسه پورتال میگن،یکی واسه سایت سوال میپرسه.(آشیانه مگه مسائل امنیتی هم رسیدگی میکنند)داخل همین فروم افراد کارآمد هستند
یا یک سوال دیگه میپرسن یا ....
فقط تنها پست های مفید،بجز جوابای من،این دوستمون که واسه سرور گفتند.این نکترم من بهشون گفتم.
لطقا بحث رو به کل کل و ادعا و سوالای بی مورد نکشونید
اگر میتونید کمک کنید و مشکل امنیتی ایشونو پیدا کنید
شما واسه داون گردن میگید.ایشون میگن من فقط باگ های پورتال رو میخوام.
ختم کلام،بخاطر اینکه فایل ها کمه و بهتون مواردی رو گفتم،دیگه چیزی نیست.
فقط سرور.که بهتون گفتم.
فقط این مورده.دیگه چیزی نیست.
ختم کلام و گفتم
استارتر عزیز اگر کمک خواستید شمارمو دارید.در تماس باشید.موفق باشید
مایل باشیدبامبلغ ۵۰۰یورو
تماممواردامنیتیشمات وسطیکی ازمطرحترین گروه هکرهای فرانسوی مورد بررسی قرارخواهد گرفت
بنده فقطبهعنوان واسطه عملمیکنم
موفقباشید
جایزه دوم نیز پرداخت شد
https://transfer.sh/xBgrG/1460836977.png
- - - Updated - - -
از لطفا شما بسیار سپاس گذارم در مرحله اول دوست داریم دوستان ایرانی کمکون کنند در مراحل بعد از شما کمک خواهیم گرفت، باز هم لطف پیشنهاد شما سپاس گذاریمنقل قول:
نوشته اصلی توسط viasky
سلام و درود.نقل قول:
نوشته اصلی توسط viasky
میتونید اسم تیم را بگید؟اگه تونستید در خصوصی بگید.چون داخلچندتاشون عضوم.حتی هک فروم
با 200$ تضمین کامل سرور و اسکریپت.اگر تونستید مشکلی پیدا کنید،مشکل برطرف میشه و پول بازگشت میخوره.اما همینطوری سرور امن میمونه
با ضمانت.
با اکثر تیم های خارجی و ایرانی کار میکنم
با کمترین قیمت بهترین کیفیت و در اختیار میذارن.با قیمت پایین
یک شخص ایرانی هم با 200$ سرورتونو کانفیگ میکنه تضمینی و اسکریپتتون رو هم ساپورت میکنه
اسم نمیبرم.اما هر موقع قطعی شد، اسمشو میگم.کسیه که خیلی ها به اسمش قسم میخورن
با کمترین قیمت بهترین کیقیت و خود ایرانی ها انجام میدن.با ضمانت.
حتی از این قیمت کمتر هم،راه کارهایی است که اگه خواسته باشن به مدیر سرور خواهم گفت گه دیگه هزینشون زیاد نشه
سوتفاهم نشه دادا،فقط سر قیمته.چوم با خارجی ها کار میکنم و کارشون اکسپلوست و باگه.
حتی توی فروم ها یک یوزر محفی دارم که مدیر هستش.واسه این اسم و پرسیدم
نظر شما هم کاملا برای بنده محترم می باشد
اما یک اسکریپت کم حجم،ارزش 500$ نداره
300ت،کارت کاملا راه میفته.
بازم تشگر از viasky عزیز.
نه خواهشمیکنم
هدف بندههم کمکبه ایشون هست
یک فرد ایرانی انجام بده که چه بهتر
گروه
Nantes Anonymous
معرفی کردم ،مشکلی پیش نمیاد
در هر صورت امیداروم کارشون به خوبی پیش بره
موفق باشید
با سلام
گروه Nantes شاما چند فرد یک نفر آمریکایی کانادایی می باشد که دشمن تمام عیار سایت های ایرانی است
البته تو این گروه فعلا کار خاصی نکرده و این چند مدته امنیت سایت ها هم بالاست
اما این شخص که میشه گفت نفر دوم گروهه،فقط اطلاعات مهم پخش میکنه
گروه زیاد بزرگی نیستن که اینطوری که گفتم.یک تیم هستش.مثل ماها که تیم داریم.
توی رتبه تیم های هکینگ تو جهان توی 100 تا نیست.ولی کارشون هیچ رد یا تایید نمیشه
فقط چیزایی که میدونم و یک چیزای دیگه هم نمیشه گفت
ممنون داداش عریز viasky عزیز بابت معرفی.در کمک کردن شما به دیگران هیچ شکی نیست.و تشکر ار شما
اما ایرانی خودمون به نظرم بهتره.چون این اسکریپت که جهانی نیست که بخواد کل جهان اسکن کنن یا باگ بزنن
حالا سایت های ما باگ رسرچرا را میگید که چون باگ میذاریم،بازدید خارجی داره
الان صفحه اول سایت من http://iedb.ir به جدیت میگم نصفش خارجیه
تو این حالت اره
اما برای سایت ایشون ایرانی خیلی بهتره
کل صفحاتشون سرجمع 10 تا نمیشه
اسکریپت رو داشته باشم تو نیم ساعت کل مشکلات و ضعف هاشو به صورت txy میکنم میدم بهشون
از low تا high
یک سرور بسیار خوب که آننی دیداس و فایروال داشته باشه میتونن به 100 بگیرن.حالا یکم کمتر و بیشتر
اسکریپتشونو اگه حتی 200ت هم کامل کنن،میشه 300ت
100 تو هم پول لایسنس و ...
در کل 400 یا 500
این بهتره و به صرفه تره.حتی اگه 100 توی باگ یابیشم زیادتر بدن بازم به صرف تره و کار خود ایرانی هستش.
درست؟
مثلا همین سروری که viasky عزیز خودتون واسه فروش گذاشتین.قیمت 75 بود فکر کنم.
این کافی نیست؟
اما 500 یورو به نظر من فیس نما یا سایت های دیگه هم این قیمت زیاده.غیر از اینه؟
چون این سایت هم کلا ایرانی هستش و کم حجم.به نظرم خود ایرانی ها البته با انتخاب درست فرد،بهترین گزینست.
با تشکر از همگی
بستگی به حساسیت و سیاست کاری مالک سرور و وب سایت داره
ما نمی تونیم معیاری و مشخص کنیم
در نتیجه یک نفر می تونه تا 2 هزار یورو هم هزینه کنه برای این مورد و ما نباید بگیم که کافیه
همه چیز به ایشون بستگی داره
گروه Nantes همه فرانسوی هستند دوست گرامی و بنده با یکی از اعضای این گروه تقریبا آشنایی دارم
حتی کی از اعضا خانمی هستند به نام شرلوت ( فرانوسی = شغ لوت)
موفق باشید
سلام
یک باگ دیگه از نوع xss پیدا شد.
اگر نیاز دارید بگید.
همه باگ های xss قبلاً توسط یکی از دوستان مشروحاً ارسال شده است، لطفاً به دنبال باگ های دیگری باشید
رسومی هم پیدا شدنقل قول:
نوشته اصلی توسط RealHAM
اما شما پشت تلفن گفتین که این باگ xss رو دیروز یکی گفته و پرداخت کردین
اما الان میگید همه باگ های xss گزارش شده.به یکی که همه نمیگن.دوتا باگ گزارش شده به قول خودتون کا یکیش فقط xss بود
اما جای سواله،چرا باگ من فوری پتچ شد.اما این باگی که دادم هنوز پتچ نشد؟
فکر کنم باگ سوم رو نگه دارم یهتره
اون یکی که گفتم بایپس لاطمه،اون هنوز هست.بجز این سومی.اما بایپس نشده هنوز.ولی مشکل هست کا باید کامل شه
بجز سومی،اینو اگه کامل شد میدمتون.
موفق بتشیو
باگ های این چنینی توسط یکی از دوستان به مشروح همراه با تصاویر و مستند سازی برای ما ارسال شده استنقل قول:
نوشته اصلی توسط IrIsT
http://8pic.ir/images/2i6pqijt0ha77fxy7jov.png
همچنین موردی نمی بینم که دروغ بگویم ما به خاطر مورد اولی که فرمودید یعنی استفاده از کپچا در فرم های ورود و ثبت نام جایزه دادیم اگر هم خوب توجه کرده باشید متوجه شده اید که ما کپچا استفاده نکردیم چون از قبل روش جلوگیری ازش طراحی شده بود اما به خاطر ترغیب شما و سایر دوستان به شما جایزه پرداخت نمودیم
از همکاری شما سپاس گذاریم
سلام لطفا شماره تلفن بنده را تایید نمایید فک کنم اشتباه زدمش واسم پیامک نیومده تقریبا بیشتر از 8 ساعته
ایمیل تایید شدس
www.hasanazizi@gmail.com
شماره تلفن
09184613882
- - - Updated - - -
سلام ازتون خواهشمندم تمامی باگ هارو ارسال نمایید به صورت خصوصی فقط نوع و عنوانشون چون دارم سایتتون رو انالیز میکنم اونم با هشت نرم افزار شاید ما هم هذیه رو بردیم دادیم جای تمدید سرور ( ببینم شانس داریم یا نه ) :)
مجدد برای شما ارسال شدنقل قول:
نوشته اصلی توسط hasanazizi
ما در خدمتیم، اگر باگ جدید یافتید به صورت مکتوب برای ما ارسال فرمایید
سپاس گذارم
باسلام
تا الان چند باگ پیدا شده در مجموع؟
دو مورد، یک مورد کپچا بود و دومی هم باگ xssنقل قول:
نوشته اصلی توسط viasky
یک موردی که سایت داره پس ثبت نام کاربر به صفحه ای به شکل زیر میره :
https://piratepay.ir/signup.php?msg=...1a016bfa72c073
نکته ای که اینجا هست :
1 : چرا شما کد هش md5 رو به این سادگی گذاشتید ؟؟ دیکد شده این متغییر عدد 00 میشه !
2 : اگر متغییر الکی نیست چرا واسه همه ثبت نام ها همینه ؟ و اگر الکیه و مثلا رد گم کنی شما متغییر id هم نزار و یه چیز الکی بزار.
موفق باشین
سلام.منم همین سوال و داشتم.
اما شاید دلیل دارند
با اجازه استارتر،از این تاپیک،اشتراکم و بر میدارم
امیدوارم به هدفتون برسید و موفق باشید
کاری بود pv یا کار اسکن هرجا.pv در خدمتم
با اجازه
خدانگهدار
به نظرتون این باگ امنیتی است ؟ آیا با این روش می توان به سیستم نفوذ کرد ؟نقل قول:
نوشته اصلی توسط spsgorgan
یکی از سایت هایی که از درگاه شما استفاده میکنه جهت تست فرایند خرید بگذارید
خدمت شمانقل قول:
نوشته اصلی توسط MR.Alone
http://www.acgih.ir