اخطار! ماژول زرین پال حفره امنیتی دارد !!!

[m1l4d]

سلام! امروز همین طوری به سایت سبد خرید رفتم و دیدم همچین چیزی نوشته شده :

اخطار! ماژول زرین پال حفره امنیتی دارد !!!


اخطار!!
با توجه به انتشار ماژول غیر رسمی سرویس پرداختی موسوم به زرین پال که در سایت این سرویس قابل دریافت است، شرکت رادفا اعلام می دارد فایل ارائه شده به هیچ وجه مطمئن نبوده و امکان هک کل سیستم و انتشار اطلاعات مهم از قبیل رمز عبور مدیریت، همچنین امکان از دست رفتن اطلاعات محصولات، مشتریان و سایر بخش های فروشگاه را فراهم می سازد.
لذا خواهشمندیم به هیچ وجه از این ماژول استفاده نفرمایید. در صورت استفاده و به وجود آمدن مشکل، شرکت هیچ گونه مسئولیتی در قبال مشکل نخواهد داشت!

جزئیات فنی:

در دو فایل مربوطه (modules/payment/zarinpal.php) و (includes/zarinpal.php) مقادیری از طریق متد get و post دریافت شده به طور مستقیم به عنوان دستورات SQL بر روی دیتابیس اجرا می گردد که امکان اجرای دستورات SQL injection را برای هکر فراهم می سازد.
با اجرای یک injection ساده توسط هکر، نفوذ به اطلاعات فروشگاه میسر خواهد شد.


منبع خبر : فروشگاه ساز سبد خرید : فروشگاه ساز اینترنتی , راه اندازی فروشگاه اینترنتی - فروشگاه ساز سبدخرید

[AmirHosein]

جناب امیری باید بیان توضیح بدن یا اخویشون!
شاید مشکلی نباشه و سبد خرید داغش کرده موضوع رو!

[Warez-Host.IR]

منتظر میمونیم تا علی امیری بیاد توضحات تکمیلی را ارائه کنه
ولی اگر مشکلی داشت تا الان نصب سایتهای فروشگاهی و ... ایران رو هوا بود

[itjavani]

دستشون درد نکنه راه نفوذ و همه چیز رو گفتن!

عجب شرکتی!!!!!

اگر هم موردی بوده ابتدا باید به خود آقای امیری میگفنتن تا برطرف کنند و در ضمن لینک منبع خبر رو بگید...

[aghdaee]

من هم منتظرم
ولی حالا تا آقای امیری تشریف بیارن و توضیحات لازم رو بدن ما باید چیکار کنیم؟
راستی این مشکل فقط برای فروشگاه ها هستش یا whmcs هم این مشکل رو داره؟

[m1l4d]

دستشون درد نکنه راه نفوذ و همه چیز رو گفتن!

عجب شرکتی!!!!!

اگر هم موردی بوده ابتدا باید به خود آقای امیری میگفنتن تا برطرف کنند و در ضمن لینک منبع خبر رو بگید...

منبع : فروشگاه ساز اینترنتی , راه اندازی فروشگاه اینترنتی - فروشگاه ساز سبدخرید

[Rezash]

معمولا اسكريپت هاي پرداخت و ... رو به صورت sample مي نويسند تا توسعه دهنده بتونه ازش استفاده كنه و نه كپي برداري خام.
در اينجا هم بايك intval يا شرط ساده ميشه مشكلات احتمالي رو رفع كرد.
انتشار اين خبر هم به اين صورت نشان از اوج كار حرفه اي اين شركت هست

[NovinServer]

اگر این مشکل روی ماژول های whmcs هم باشد و این باپ هم پابلیک شود بسیاری از فروشندگان بابت این ماژول شاید خسارت باور نکردنی بخورند !
بهتره به جناب امیری اطلاع داده شود تا به این موضوع پاسخ روشنی بدهند !

[AmirHosein]

معمولا اسكريپت هاي پرداخت و ... رو به صورت sample مي نويسند تا توسعه دهنده بتونه ازش استفاده كنه و نه كپي برداري خام.
در اينجا هم بايك intval يا شرط ساده ميشه مشكلات احتمالي رو رفع كرد.
انتشار اين خبر هم به اين صورت نشان از اوج كار حرفه اي اين شركت هست

بلی درسته و به نظر من چیزی از ارزش های انسانی مدیریت سامان سیستم کم نمیکنه و.. فکر کنم سبد خرید به خاطر انتشار رایگان این خبر رو پخش کرده تا اونای که نال مصرف میکنن بترس!!!!!!

[shamimi]

اگر همچين مشكلي وجود داشته باشه پس اون امتحان هاي امنيت بر روي سيستم كشك بوده ؟