هردم ازین باغ بری می رسد...!

Question

محمد امین 8 سال پیش 8 سال پیش

+2 0

امیدوارم خوب باشید{گل}

من چند روزیه که درگیره دوره آموزشی توسعه وب با ساختار LAMP هستم و قصد خریداری اون رو دارم{قلب}.

امشب در حال گشت زدن توی سایت بودم که متوجه شدم با تغییر یه عدد میشه پروفایل کاربرها رو ببینم(عکس اول، کادر قرمز رنگ)، برام جالب بود و خیلی هم خوبه که کاربرا میتونند با هم در ارتباط باشند و امتیازات هم دیگه رو ببینند اما یک لحظه چشماتون رو ببنید و تصور کنید که قراره یه سایت آموزشی برای یه سازمان یا یه بانک درست کنید که کارمندان بانک بتونن ازون استفاده کنند یعنی یه سیستم آموزش مجازی برای سازمان یا بانک که اطلاعات کارمندان هم اون جا هست، اگه لینک پروفایل افراد مخفی نباشه به نظرتون چه اتفاقی میتونه بیفته؟

عکس دوم و کادر سبز رنگ رو ببینید لطفا{لبخند}، به راحتی من بخشی از اطلاعات یه خانم که تو بانک شهر کار میکنه رو بدست آوردم.

فک کنم تا الان دیگه متوجه شده باشید که حفاظت از اطلاعات چقد مهمه!

من از استاد عزیز درخواست میکنم که اگه همچین نکته امنیتی رو تو دوره نگفتن(اینجوری میگم چون آموزش ها رو کامل نگاه نکردم)، حتما یه وقتی بذارن و بعضی از این نکات به ظاهر ساده رو بگن.{قلب}

و اما چرا هر دم ازین باغ بری می رسد!؟{لبخند}

وقتی که داشتم پروفایل دوستان رو با همون روش عوض کردن عدد چک می کردم سایت ارور داد (کادر زرد رنگ) و متوجه یه نکته خیلی جالب شدم (کادر نارنجی رنگ) که خواستم به مجموعه محترم اطلاع بدم.{گل}

مرسی از نگاهتون {دوتا گل با یه قلب وسطش}

امیدوارم خوب باشید{گل}

من چند روزیه که درگیره دوره آموزشی توسعه وب با ساختار LAMP هستم و قصد خریداری اون رو دارم{قلب}.

امشب در حال گشت زدن توی سایت بودم که متوجه شدم با تغییر یه عدد میشه پروفایل کاربرها رو ببینم(عکس اول، کادر قرمز رنگ)، برام جالب بود و خیلی هم خوبه که کاربرا میتونند با هم در ارتباط باشند و امتیازات هم دیگه رو ببینند اما یک لحظه چشماتون رو ببنید و تصور کنید که قراره یه سایت آموزشی برای یه سازمان یا یه بانک درست کنید که کارمندان بانک بتونن ازون استفاده کنند یعنی یه سیستم آموزش مجازی برای سازمان یا بانک که اطلاعات کارمندان هم اون جا هست، اگه لینک پروفایل افراد مخفی نباشه به نظرتون چه اتفاقی میتونه بیفته؟

عکس دوم و کادر سبز رنگ رو ببینید لطفا{لبخند}، به راحتی من بخشی از اطلاعات یه خانم که تو بانک شهر کار میکنه رو بدست آوردم.

فک کنم تا الان دیگه متوجه شده باشید که حفاظت از اطلاعات چقد مهمه!

من از استاد عزیز درخواست میکنم که اگه همچین نکته امنیتی رو تو دوره نگفتن(اینجوری میگم چون آموزش ها رو کامل نگاه نکردم)، حتما یه وقتی بذارن و بعضی از این نکات به ظاهر ساده رو بگن.{قلب}

و اما چرا هر دم ازین باغ بری می رسد!؟{لبخند}

وقتی که داشتم پروفایل دوستان رو با همون روش عوض کردن عدد چک می کردم سایت ارور داد (کادر زرد رنگ) و متوجه یه نکته خیلی جالب شدم (کادر نارنجی رنگ) که خواستم به مجموعه محترم اطلاع بدم.{گل}

مرسی از نگاهتون {دوتا گل با یه قلب وسطش}

0 0

دوست خوبم اون وقت شما چطوری اینو فهمیدید ؟ برنامه نویسی رو قبلا بلد بودید یا هک ؟ مرسی از با خبر کردن این مشکلاتم.البته من سر در نمیارم :D (8 سال پیش)

+1 0

دوست عزیز این چیزی که شما این جا مطرح کردین اصلا اسمش مشکل نیست. یه امکان هست که در فریمورک اختصاصی ای که حتی استاد در آموزش ها هم اونو یاد میدن وجود داره و اجازه میده دسترسی به اطلاعات خاص رو به شکل Routing داشته باشید. توی این سایت استاد دسترسی رو برای افراد به وسیله ی تغییر url باز گذاشتن که شما بتونید اطلاعات عمومی کاربران و فعالیت های اون ها در انجمن های مختلف رو ببینید و در صورت لزوم پیام خصوصی بفرستید. الآن مثلا من شماره موبایل هیچ کس رو نمیتونم ببینم. پس این صفحه کاربری برای هر شخص مدیریت شده. در مورد پیغام هم اگه دقت کنید شما دارید url رو با پارمترهای اشتباه وارد می کنید و اینجا Routing سایت ایراد گرفته (که البته میشه دسترسی برای پارامترهای اشتباه رو هدایت کرد به صفحه ی خاص). در مورد سایتی که توش اطلاعات گیر آوردین هم همین طور. اون جا هم توسعه دهنده ی اون سایت باید دسترسی رو محدود کنه اگر اون صفحات آزاد نباشن. پیشنهاد می کنم بخش زیبا و شیرین MVC (بخش پنجم) رو با دقت ببینید. (8 سال پیش)

+1 0

در رابطه با سایتبانک شهر دوستان توضیحات لازم رو دادند ، در رابطه با مشکلی که در سایت هست از این دسته مشکلات بسیار هست و ما نیز به همه آن ها واقف هستیم اما همونطور که قبلا هم اعلام کردیم سایت در نسخه بتا هست و هنوز نسخه رسمی عرضه نشده و اولویت کاری ما نیز رفع این موارد نیست . در صورتی که به مشکلات مهم بر خوردید میتونید از بخش پشتیبانی تیکت جدیدی درج کنید و مشکل رو مطرح کنید ما هم در اولین فرصت مشکل را بررسی خواهیم کرد و پاسخ شما را از طریق همان بخش خواهیم داد . (8 سال پیش)

+1 0

سلام به محمد امین خان شیرین زیان :) آقا اول اینکه بله فرمایشاتتون تماما متین و قابل قبول و اون قسمت تاریخ ها جالب و البته بامزه بود که البته پیش میاد تو برنامه نویسی و امیدوارم به زودی اصلاح بشه چون عیب خنده داریه برای یه سایتی مثل uncox که هممون بهش میبالیم و چون ادرس بانک شهر رو هم محو کردید که کار خوبی کردید یه سوال داشتم اونم اینکه برای مشاهده اون اطلاعات پرمیشنی تعریف نکردن ؟ همه میتونند اون اطلاعات رو ببینند ؟ اگه اینجوریه که دیگه آخرین برنامه نویس اند برنامه نویس هاش :) اگه نه باز هم عیب بزرگیه :) درکل تاپیک خوبی بود . موفق باشید. (8 سال پیش)

+2 0

سلام رضا جان{گل} جالبه که بدونی بانک شهر داره از یه سیستم متن باز برای آموزشش استفاده میکنه که پنج تا باگ امنیتی اساسی داره! شما هم موفق باشید رضا جان {قلب} (8 سال پیش)

+2 0

چطوره بزنیمش ما رو هم ببرن ماه عسل :) بگیم هکریم خخخخ (8 سال پیش)

+2 0

هشت ساله ها! تازه برای سازمان ها و مراکز مهم سنگین ترم هست {خنده}. دیواره آتشین سرورشون خیلی خوبه و نفوذ بهش خیلی سخته. فقط میتونیم به اطلاعات دسترسی پیدا کنیم. (8 سال پیش)

Answer 1

پاسخ به سوال

محمد امین 8 سال پیش

+3 0

حامد عزیز{گل}

دل گرچه در این بادیه بسیار شتافت یک موی ندانست و بسی موی شکافت

گرچه ز دلم هزار خورشید بتافت آخر به کمال ذره ای راه نیافت

دانشجوی کامپیوترم و کارم کمی با برنامه نویسی و امنیت سروکار داره. از سر کنجکاوی متوجه این موضوعات شدم.

Answer 2

حامد عزیز{گل}

دل گرچه در این بادیه بسیار شتافت یک موی ندانست و بسی موی شکافت

گرچه ز دلم هزار خورشید بتافت آخر به کمال ذره ای راه نیافت

دانشجوی کامپیوترم و کارم کمی با برنامه نویسی و امنیت سروکار داره. از سر کنجکاوی متوجه این موضوعات شدم.

Answer 3

پاسخ به سوال

محمد امین 8 سال پیش

+2 0

محمد حسین جان {گل}

بعد از میل یه شربت بهارنارنج، کلمه مشکل رو تو این صفحه جستجو کن{لبخند}

من نگفتم این امکان توی این سایت مشکله بلکه برام جالب و ازش حمایت کردم، در ضمن برای هکر ها هم این عددی که برای کاربران وجود داره "میتونه" راهی باشه تا به بقیه اطلاعات دسترسی پیدا کنن این که شما به فرض شماره کسی رو نبینید به این معنی نیست که هکر ها هم نتونن به اون اطلاعات مخفی شده دسترسی پیدا کنن.

در خصوص اروری هم که گفتید، طبق گفته شما اگه یه ارور از خوده سایته پس بهتره یه صفحه و یه پیغام بهتری به کاربر بده اینا میشه مسائل تجربه کاربری، و خیلی خوب شد که همچین اروری پیش اومد تا سایت زیبایی مثه Uncox این ارور ها رو هم مدیریت کنه و رابط کاربری زیباتری برای این نوع ارور ها بذاره تا من کاربر در وهله اول بدونم ارور چیه و در وهله دوم صفحه زیباتری رو متناسب با ارور ببینم.{لبخند}

پیشنهاد میکنم یک بار دیگه متن اولم رو بخونید تا دقیقا متوجه بشید من چی گفتم در خصوص این صفحات اگه حوصلش رو نداشتید از خط یازدهم شروع کنید.{گل}

+1 0

محمد امین جان (گل و بلبل!) من منظور شما رو کاملا متوجه شدم. در مورد ارور حق با شماست و خوبه که اطلاع دادین. اتفاقا در کامنتم در پست بالایی هم گفتم که به خاطر پارامترهای اشتباه، میشه که به صفحه ی مناسبی هدایت بشه. اما منظور من اینه که علت پیدایش این پیغام خطا، اشتباه وارد کردن دستی پارامترها در url هست. یعنی قطعا شما از طریق کلیک روی هیچ لینکی به این خطا نرسیدین. منظور من از گفتن کلمه مشکل هم همین بود. لینک ها مشکل ندارن و به خطا منجر نمیشن اما پارمتردهی آره. به قول شما جای اصلاح داره. در مورد هک از طریق یه پارامتر دسترسی به پروفایل کاربر من نظری ندارم. چون دانشی هم ندارم. پاینده باشید. (8 سال پیش)

Answer 4

محمد حسین جان {گل}

بعد از میل یه شربت بهارنارنج، کلمه مشکل رو تو این صفحه جستجو کن{لبخند}

من نگفتم این امکان توی این سایت مشکله بلکه برام جالب و ازش حمایت کردم، در ضمن برای هکر ها هم این عددی که برای کاربران وجود داره "میتونه" راهی باشه تا به بقیه اطلاعات دسترسی پیدا کنن این که شما به فرض شماره کسی رو نبینید به این معنی نیست که هکر ها هم نتونن به اون اطلاعات مخفی شده دسترسی پیدا کنن.

در خصوص اروری هم که گفتید، طبق گفته شما اگه یه ارور از خوده سایته پس بهتره یه صفحه و یه پیغام بهتری به کاربر بده اینا میشه مسائل تجربه کاربری، و خیلی خوب شد که همچین اروری پیش اومد تا سایت زیبایی مثه Uncox این ارور ها رو هم مدیریت کنه و رابط کاربری زیباتری برای این نوع ارور ها بذاره تا من کاربر در وهله اول بدونم ارور چیه و در وهله دوم صفحه زیباتری رو متناسب با ارور ببینم.{لبخند}

پیشنهاد میکنم یک بار دیگه متن اولم رو بخونید تا دقیقا متوجه بشید من چی گفتم در خصوص این صفحات اگه حوصلش رو نداشتید از خط یازدهم شروع کنید.{گل}