پاسخ : سیستم دانلود به ازای پرداخت زرین پال
فایل send.php باگ LFI
فایل verify.php باگ LFIکد:$code = $_GET['code']; $yemail = $_GET['yemail']; $tel = $_GET['tel']; include_once('config.php'); include_once("pay/$code.php");
فایل admin/home.php اعتبار سنجی مدیریتی فوق العاده ضعیف هست و در هاستهای اشتراکی چون مسیر session یکی هست به راحتی سایت مورد نفوذ قرار میگیرد .کد:include_once('config.php'); include_once('load.php'); $code = $_GET['code']; include_once("pay/$code.php");
کد:if ( isset($_SESSION['userName']) ) { if ( (isset($_GET['act'])) && ($_GET['act'] == "logOut") ) { unset ($_SESSION['userName']); header ("Location: login.php"); }
پیشنهاد میکنم کمی اطلاعاتتون رو در مورد روشهای نفوذ بالا ببرید ، از معماری MVC استفاده کنید ، برای session هم از دخیره در دیتابیس استفاده کنید .
ترجیحا یوزرایجنت و آی پی مدیر رو هم مورد بررسی قرار بدید .
در صورتیکه قصد دارید این اسکریپت رو برای استفاده دوستان قرار بدید باگها رو حتما رفع کنید تا خدای ناکرده مشکلی برای دوستان پیش نیاید .
موفق باشید
پاسخ با نقل قول