درخواست تست آمارگیر

[ali_a021]

جستارتا منظور شما "اظهار نظر" است؟

اگر انتقاد پذیر نیستید جسارتا بیخیال راه اندازی چنین سیستمی شوید زیرا حتی سیستم هایی که چندین سال هست راه اندازی شده اند همچنان مشکلاتی دارند

آیا اینکه می توان با کادر های خالی و بدون هیچگونه validate ایمیل یا ... می توان یوزر ساخت باگ بزرگی نیست؟

صرفا باگ بزرگ نباید "بزرگ" باشد! حتی اگر با یک Double quotes حل شود.

شما گفتید تست کنید ما هم تست کردیم و موارد را خدمت جنابتان اعلام کردیم.

یک یوزر ساخته شده بدون اینکه ایمیل وارد کنیم! بدون اینکه پسورد وارد کنیم! بدون اینکه نام کاربری وارد کنیم!

البته فکر میکنم IP ما را کاملا در سیستم خود Banned کردید.

به هر حال قصد اینجانب فقط بررسی سیستم شما بود.

موفق و پیروز.

خیر دوست عزیز شما انتقاد درست کنید کیه که انتقاد پذیر نباشه! بنده عرض کردم درست تست کنید, بدلیل اینکه هیچکدوم از مواردی که فرمودید صحت نداشت و با اینکار فقط تلاش بنده رو زیر سوال بردید :‌ )
لصفا اگر میبینید باگی چیزی وجودداره لاگین کنید و اسکرین بدید نه اینکه یه جوابی داده باشید و به سلامت!
خب ایجاد یوزر و ایجاد سشن چیز خاصی نیست اگر بحث hijacking مطرح باشد خطرساز هست که به هیچ عنوان امکان ندارد...

براحتی می تواند وارد ناحیه کاربری وب سایت شما شود!
یک یوزر ساخته شده بدون اینکه ایمیل وارد کنیم! بدون اینکه پسورد وارد کنیم! بدون اینکه نام کاربری وارد کنیم!

امیدوارم دو خط رو خودتون با هم مقایسه کنید ببینید چقدر فرق داره (در پست اول میگید سیستم کاملا آسیب پذیره و میشه به اطلاعات دیگران دسترسی داشت , در پست بعد میگید یوزر ساختید؟!؟؟! خب این الان باگ امنیتیه ؟!!!!)
بن هم نشدید آخرین بار ۲ دیقه پیش از سایت بازدید کردید بدون هیچ مشکلی ! خواهشا مقداری با پایه و اساس تر صحبت کنید از شما و یوزرتون بعید هست.


برای بحث چک کردن یوزر و مالک سایت هم بله چک میشه در زمان حذف آمارگیر و... همه مقادیر چک میشن باهم .
باز هم تشکر میکنم ازتون امیدوارم برداشت اشتباه نکرده باشید
موفق باشید.

[Yas-Host]

خیر دوست عزیز شما انتقاد درست کنید کیه که انتقاد پذیر نباشه! بنده عرض کردم درست تست کنید, بدلیل اینکه هیچکدوم از مواردی که فرمودید صحت نداشت و با اینکار فقط تلاش بنده رو زیر سوال بردید :‌ )
لصفا اگر میبینید باگی چیزی وجودداره لاگین کنید و اسکرین بدید نه اینکه یه جوابی داده باشید و به سلامت!
خب ایجاد یوزر و ایجاد سشن چیز خاصی نیست اگر بحث hijacking مطرح باشد خطرساز هست که به هیچ عنوان امکان ندارد...

براحتی می تواند وارد ناحیه کاربری وب سایت شما شود!
یک یوزر ساخته شده بدون اینکه ایمیل وارد کنیم! بدون اینکه پسورد وارد کنیم! بدون اینکه نام کاربری وارد کنیم!

امیدوارم دو خط رو خودتون با هم مقایسه کنید ببینید چقدر فرق داره (در پست اول میگید سیستم کاملا آسیب پذیره و میشه به اطلاعات دیگران دسترسی داشت , در پست بعد میگید یوزر ساختید؟!؟؟! خب این الان باگ امنیتیه ؟!!!!)
بن هم نشدید آخرین بار ۲ دیقه پیش از سایت بازدید کردید بدون هیچ مشکلی ! خواهشا مقداری با پایه و اساس تر صحبت کنید از شما و یوزرتون بعید هست.

موفق باشید.

دوست عزیز متوجه منظور بنده نشدید. آیا در لیست یوزر های شما در حال حاضر یوزری بدون ایمیل و بدون نام کاربری یعنی در sql شما ثبت نشده است؟! یا حذف کردید؟

دوست عزیز به اطلاعات دیگران دسترسی وجود ندارد !! بنده بخاطر ندارم در پست های قبلم اعلام کرده باشم به اطلاعات دیگران امکان دسترسی باشد!!

بنده اعلام کردم:

اگر یک شخص required را بردارد سپس اقدام به submit کردن فرم کند براحتی می تواند وارد ناحیه کاربری وب سایت شما شود!

منظور ما از ناحیه کاربری Admin Level شما نیست !!!!! منظور ما ناحیه کاربری خود user هست !

در فرم لاگین/register شما بعد از اینکه required را از قسمت input box از داخل inspect برداشت اطلاعات post بررسی نمی شود . با استفاده از این باگ توانستیم یک یوزر بدون email/username/password ایجاد کنیم.

سپس همینکار در فرم login.php شما نیز انجام شد که براحتی لاگین شد.

سپس دو وب سایت site.com و site2.com ایجاد شد.


ما دو سایت نیز اضافه کردیم site.com و site2.com

http://amargir.net/settings.php?site=site.com#top

در حال حاضر به هیچ صورت امکان لاگین/register وب سایت شما نیست.

یک پل ارتباطی ارسال کنید "تلگرام , یاهو یا اسکایپ"

- - - Updated - - -

همچنین بنده اسکرین شاتی در حال حاضر ندارم بخاطر اینکه هیچکاری در وب سایت شما نمی توان انجام شود و به صفحه worng.php ریدایرکت می شود ! حتی از طریقی دیگر اقدام کردیم (سرور مجازی و آی پی دیگر).

http://up.vbiran.ir/uploads/22317146...-15_204552.png

این هیستوری فکر میکنم کافی باشد که وب سایت اضافه شد و در هنگام ثبت نیز اعلام شد که "فقط یک قدم دیگر کافی است و امکان تنظیم یوزر و پسورد برای مشاهده بازدید و ... بوده"

اگر این موارد را رفع کرده اید که چه بهتر.

موفق و پیروز.

[ali_a021]

دوست عزیز متوجه منظور بنده نشدید. آیا در لیست یوزر های شما در حال حاضر یوزری بدون ایمیل و بدون نام کاربری یعنی در sql شما ثبت نشده است؟! یا حذف کردید؟

دوست عزیز به اطلاعات دیگران دسترسی وجود ندارد !! بنده بخاطر ندارم در پست های قبلم اعلام کرده باشم به اطلاعات دیگران امکان دسترسی باشد!!

بنده اعلام کردم:




منظور ما از ناحیه کاربری Admin Level شما نیست !!!!! منظور ما ناحیه کاربری خود user هست !

در فرم لاگین/register شما بعد از اینکه required را از قسمت input box از داخل inspect برداشت اطلاعات post بررسی نمی شود . با استفاده از این باگ توانستیم یک یوزر بدون email/username/password ایجاد کنیم.

سپس همینکار در فرم login.php شما نیز انجام شد که براحتی لاگین شد.

سپس دو وب سایت site.com و site2.com ایجاد شد.


ما دو سایت نیز اضافه کردیم site.com و site2.com

http://amargir.net/settings.php?site=site.com#top

در حال حاضر به هیچ صورت امکان لاگین/register وب سایت شما نیست.

یک پل ارتباطی ارسال کنید "تلگرام , یاهو یا اسکایپ"

ممنونم
خب دوست عزیز این که مشکل امنیتی نیست ! چشم فیکس میکنم تشکر بازهم
والا من به phpmyadmin لاگین نکردم توی چند ساعت اخیر اما احتمالا بدلیل اینکه فیلد username در دیتابیس کلید اصلی هست و باید اضافه شود و همچنین sitename هم یک کلید خارجی به تیبل یوزر ها دارد و شما هم فیلد مربوط به username رو خالی وارد کردید تنها سشن در php ایجاد شده و چیزی به دیتابیس اضافه نشده ... امیدوارم منظورم رو متوجه شده باشین, من که بدم نمیاد کسی وقت بذاره, لطف کنه و سیستم رو چک کنه ...