نوشته اصلی توسط
Yas-Host
سلام.
یک باگ بسیار بزرگ در وب سایت شما قرار دارد.
شما برای فرم ثبت نام اقدام کردید که فقط required در input box وجود دارد.
اگر یک شخص required را بردارد سپس اقدام به submit کردن فرم کند براحتی می تواند وارد ناحیه کاربری وب سایت شما شود!
همچنین هیچگونه session در وب سایت شما بررسی نمی گردد!!!
همچنین در فایل script.js شما:
http://amargir.net/stats/script.js
در انتهای فایل که اقدام به post یک سری متغییر به فایل
http://amargir.net/stats/Address.php می کند براحتی با استفاده از یک bot می توان بازدید fake برای وب سایت فوق در سیستم شما ثبت کرد !
همچنین آیا فکر این را کرده اید که هنگام افزودن یک وب سایت چگونه صاحب آن مشخص می شود؟
و ....
این باگ ها صرفا با انجام چند مورد حل می شوند اما مهم ترین مورد در چنین سیستمی
امنیت آن است
موفق و پیروز.
سلام
خیلی ممنونم از وقتی که صرف تست و بررسی کردید.
اما خواهشا با مفهوم باگ بزرگ آشنا بشید و بعد اضهار نظر کنید!
در تمامی صفحات Session چک میشود و با این موردی که گفتید به هیچ عنوان کار خاصی نمیشه کرد ... (صرفا ایجاد سشن به هیچ دردی نمیخوره !)
"اگر یک شخص required را بردارد سپس اقدام به submit کردن فرم کند براحتی می تواند وارد ناحیه کاربری وب سایت شما شود!"
اگر فکر میکنید که باگی وجوددارد لطفا وارد حساب admin بشید و اسکرین شات از سایت های یوزر ضمیمه کنید : )
برای بحث بازدید Fake هم نیازی به این کارها نیست با یه برنامه دو خطی هم میشه بازدید Fake با رفرش سایت درست کرد !! و هیچگونه راه تشخیص 100% وجود نداره بجز چک کردن مداوم هر درخواست که درصورت یکسان بودن رکورد های ورودی بن کنه سایت رو که همچین کاری با در نظر گرفتن اینکه در سایت های آمارگیر روزانه بیشتر از صد هزار رکورد اضافه میشه اصلا کار درستی نیست.
همچنین آیا فکر این را کرده اید که هنگام افزودن یک وب سایت چگونه صاحب آن مشخص می شود؟
سشن ... مشکلی در این بخش وجوددارد؟!
به هرحال خوشحال شدم ازاینکه وقت گذاشتید و صمیمانه تشکر میکنم ازتون
پاسخ : درخواست تست آمارگیر
پاسخ با نقل قول