خطر جدی اغاز حملات بروت فورس روی whmcs !

[AtrafNet]

سلام
همونطور که احتمالا در جریان باشید جدیدا بسیاری از وب سایت هایی که از اسکریپت whmcs استفاده میکنند (بخصوص هاستینگ ها) دچار این حملات بروت فورس میشن

هدف اصلی این حملات بخش کاربری هست که یکی از دوستان کرکر به بنده نشون داد که چطوری در عرض یه روز نزدیک به صد اکانت دو هاستینگ معروف (خیلی معروف) رو که بخش زیادیشون دارای سرویس های فعال بودن رو کرک کرده و براحتی میتونه هر استفاده مخربی داشته باشه...

دلیل اصلی این مورد این هست که Whmcs در صفحه لوگین خود اصلا از کپچا استفاده نمیکنه وگرنه با فعال کردن ریکپچا گوگل بخش عمده این حملات دفع می شدند (کچا خود whmcs فایده نداره)
و مورد دیگه اینکه whmcs اصلا ایپی کسی که به بخش کاربری بروت فورس کنه حتی اگر ده هزار بار تلاش کنه رو بن نمیکنه ! (فاجعه)
با فعال کردن csrf token هم اصلا مشکل حل نمیشود (تست شده)

وب سایت های خارجی و یکی از همکاران اقدام به انتشار ماژول های امنیتی کردن که خب هزینه لایسنس بالایی داره و شاید هر کسی توانایی پرداختش رو نداشته باشه و علاوه بر هزینه امکانات دیگه ای داخل ماژول قرار دادن که خب شاید همه نیاز به امکانات اضافه دیگه نداشته باشن

به همین دلایل که عرض کردم این تاپیک رو ایجاد کردم که از دوستان برنامه نویس که با برنامه نویسی whmcs اشنایی دارن یک ماژول یا یک پچ منتشر کنند تا همه استفاده کنند و این مشکل امنیتی که بسیار جدی هست حل بشه
پ.ن :تاپیک رو جای اشتباهی زدم مدیران منتقل کنند بخش whmcs


لطفا موضوع رو جدی بگیرید شاید هاستینگ بعدی که میره زیر کرک هاستینگ شما باشه

سلام
ممنون از اطلاع رسانی فقط جسارتاً مگه سیستم دوستتون چقدر قدرتمنده که در یه روز 100 تا یوزر رو با حمله حدس و گمان (BruteForce) تونسته هک کنه؟
چون تا اون جایی که می دونم حمله BruteForce به دلیل تست پسورد لیست یا کاراکتر به کاراکتر علاوه بر قدرت بالای سخت افزاری نیاز به زمان نسبتاً زیادی داره و هک 100 تا حساب از 2 تا هاستینگ معروف اونم فقط در یک روز به نظرم عجیب میاد.
یا یوزر ها انقدر بی فکرن که رمز های 3 - 4 حرفی دارن یا واقعاً باید حفره امنیتی تو whmcs باشه که اون وقت دیگه BruteForce حساب نمیشه و باگ امنیتی حساب میشه.