عالی هستش موفق باشید
عالی هستش موفق باشید
خوب هست
خسته نباشید
واقعیتش وقت آنالیز نداشتم...
آمارگیر خوبیه ولی بهتر است قالبش تغییر کنه کمی هم ابزار بیشتر بشه
سلام.
یک باگ بسیار بزرگ در وب سایت شما قرار دارد.
شما برای فرم ثبت نام اقدام کردید که فقط required در input box وجود دارد.
اگر یک شخص required را بردارد سپس اقدام به submit کردن فرم کند براحتی می تواند وارد ناحیه کاربری وب سایت شما شود!
همچنین هیچگونه session در وب سایت شما بررسی نمی گردد!!!
همچنین در فایل script.js شما:
http://amargir.net/stats/script.js
در انتهای فایل که اقدام به post یک سری متغییر به فایل http://amargir.net/stats/Address.php می کند براحتی با استفاده از یک bot می توان بازدید fake برای وب سایت فوق در سیستم شما ثبت کرد !
همچنین آیا فکر این را کرده اید که هنگام افزودن یک وب سایت چگونه صاحب آن مشخص می شود؟
و ....
این باگ ها صرفا با انجام چند مورد حل می شوند اما مهم ترین مورد در چنین سیستمی امنیت آن است
موفق و پیروز.
سلام
خیلی ممنونم از وقتی که صرف تست و بررسی کردید.
اما خواهشا با مفهوم باگ بزرگ آشنا بشید و بعد اضهار نظر کنید!
در تمامی صفحات Session چک میشود و با این موردی که گفتید به هیچ عنوان کار خاصی نمیشه کرد ... (صرفا ایجاد سشن به هیچ دردی نمیخوره !)
"اگر یک شخص required را بردارد سپس اقدام به submit کردن فرم کند براحتی می تواند وارد ناحیه کاربری وب سایت شما شود!"برای بحث بازدید Fake هم نیازی به این کارها نیست با یه برنامه دو خطی هم میشه بازدید Fake با رفرش سایت درست کرد !! و هیچگونه راه تشخیص 100% وجود نداره بجز چک کردن مداوم هر درخواست که درصورت یکسان بودن رکورد های ورودی بن کنه سایت رو که همچین کاری با در نظر گرفتن اینکه در سایت های آمارگیر روزانه بیشتر از صد هزار رکورد اضافه میشه اصلا کار درستی نیست.
اگر فکر میکنید که باگی وجوددارد لطفا وارد حساب admin بشید و اسکرین شات از سایت های یوزر ضمیمه کنید : )
همچنین آیا فکر این را کرده اید که هنگام افزودن یک وب سایت چگونه صاحب آن مشخص می شود؟سشن ... مشکلی در این بخش وجوددارد؟!
به هرحال خوشحال شدم ازاینکه وقت گذاشتید و صمیمانه تشکر میکنم ازتون
ویرایش توسط ali_a021 : April 15th, 2016 در ساعت 20:20
جستارتا منظور شما "اظهار نظر" است؟
اگر انتقاد پذیر نیستید جسارتا بیخیال راه اندازی چنین سیستمی شوید زیرا حتی سیستم هایی که چندین سال هست راه اندازی شده اند همچنان مشکلاتی دارند
آیا اینکه می توان با کادر های خالی و بدون هیچگونه validate ایمیل یا ... می توان یوزر ساخت باگ بزرگی نیست؟
صرفا باگ بزرگ نباید "بزرگ" باشد! حتی اگر با یک Double quotes حل شود.
شما گفتید تست کنید ما هم تست کردیم و موارد را خدمت جنابتان اعلام کردیم.
یک یوزر ساخته شده بدون اینکه ایمیل وارد کنیم! بدون اینکه پسورد وارد کنیم! بدون اینکه نام کاربری وارد کنیم!
البته فکر میکنم IP ما را کاملا در سیستم خود Banned کردید.
به هر حال قصد اینجانب فقط بررسی سیستم شما بود.
همچنین منظور بنده از صاحب وب سایت check کردن اینکه یوزر لاگین است یا ... نیست منظور بنده اینکه آیا دامنه site.com متعلق به بنده است یا خیر.
که صرفا همانند alexa یا google web master می توان این verify را انجام داد.
موفق و پیروز.
ویرایش توسط Yas-Host : April 15th, 2016 در ساعت 20:30
خیر دوست عزیز شما انتقاد درست کنید کیه که انتقاد پذیر نباشه! بنده عرض کردم درست تست کنید, بدلیل اینکه هیچکدوم از مواردی که فرمودید صحت نداشت و با اینکار فقط تلاش بنده رو زیر سوال بردید : )
لصفا اگر میبینید باگی چیزی وجودداره لاگین کنید و اسکرین بدید نه اینکه یه جوابی داده باشید و به سلامت!
خب ایجاد یوزر و ایجاد سشن چیز خاصی نیست اگر بحث hijacking مطرح باشد خطرساز هست که به هیچ عنوان امکان ندارد...
براحتی می تواند وارد ناحیه کاربری وب سایت شما شود!
یک یوزر ساخته شده بدون اینکه ایمیل وارد کنیم! بدون اینکه پسورد وارد کنیم! بدون اینکه نام کاربری وارد کنیم!
امیدوارم دو خط رو خودتون با هم مقایسه کنید ببینید چقدر فرق داره (در پست اول میگید سیستم کاملا آسیب پذیره و میشه به اطلاعات دیگران دسترسی داشت , در پست بعد میگید یوزر ساختید؟!؟؟! خب این الان باگ امنیتیه ؟!!!!)
بن هم نشدید آخرین بار ۲ دیقه پیش از سایت بازدید کردید بدون هیچ مشکلی ! خواهشا مقداری با پایه و اساس تر صحبت کنید از شما و یوزرتون بعید هست.
برای بحث چک کردن یوزر و مالک سایت هم بله چک میشه در زمان حذف آمارگیر و... همه مقادیر چک میشن باهم .
باز هم تشکر میکنم ازتون امیدوارم برداشت اشتباه نکرده باشید
موفق باشید.
ویرایش توسط ali_a021 : April 15th, 2016 در ساعت 20:39
دوست عزیز متوجه منظور بنده نشدید. آیا در لیست یوزر های شما در حال حاضر یوزری بدون ایمیل و بدون نام کاربری یعنی در sql شما ثبت نشده است؟! یا حذف کردید؟
دوست عزیز به اطلاعات دیگران دسترسی وجود ندارد !! بنده بخاطر ندارم در پست های قبلم اعلام کرده باشم به اطلاعات دیگران امکان دسترسی باشد!!
بنده اعلام کردم:
اگر یک شخص required را بردارد سپس اقدام به submit کردن فرم کند براحتی می تواند وارد ناحیه کاربری وب سایت شما شود!
منظور ما از ناحیه کاربری Admin Level شما نیست !!!!! منظور ما ناحیه کاربری خود user هست !
در فرم لاگین/register شما بعد از اینکه required را از قسمت input box از داخل inspect برداشت اطلاعات post بررسی نمی شود . با استفاده از این باگ توانستیم یک یوزر بدون email/username/password ایجاد کنیم.
سپس همینکار در فرم login.php شما نیز انجام شد که براحتی لاگین شد.
سپس دو وب سایت site.com و site2.com ایجاد شد.
ما دو سایت نیز اضافه کردیم site.com و site2.com
http://amargir.net/settings.php?site=site.com#top
در حال حاضر به هیچ صورت امکان لاگین/register وب سایت شما نیست.
یک پل ارتباطی ارسال کنید "تلگرام , یاهو یا اسکایپ"
- - - Updated - - -
همچنین بنده اسکرین شاتی در حال حاضر ندارم بخاطر اینکه هیچکاری در وب سایت شما نمی توان انجام شود و به صفحه worng.php ریدایرکت می شود ! حتی از طریقی دیگر اقدام کردیم (سرور مجازی و آی پی دیگر).
http://up.vbiran.ir/uploads/22317146...-15_204552.png
این هیستوری فکر میکنم کافی باشد که وب سایت اضافه شد و در هنگام ثبت نیز اعلام شد که "فقط یک قدم دیگر کافی است و امکان تنظیم یوزر و پسورد برای مشاهده بازدید و ... بوده"
اگر این موارد را رفع کرده اید که چه بهتر.
موفق و پیروز.
در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)