ראשי > אבטחת מידע > שלום לכולם אני צריך בדיקת אבטחה לאתר חדש שלי
15/04/2007 09:41:46
PickNick
שלום לכם אני חדש פה וחבר המליץ לי להרשם לפה אומר שאתם תותחים בתחום,אז ככה בניתי אתר חדש בסגנון SHIN1 ,SHOX ואני רוצה עוד כמה ימים לפתוח אותו אז אני רוצה להיות מוגן מכל בחינה אפשרית כי באתרים האלה ישר מנסים להפיל אותה בימים הראשונים להראות שאתה חובבן אז אני לא יעשה לעצמי בושות כמובן,, אז פה אני צריך את עזרתכם אני רוצה שתבדקו לי הזרקות למינהם XSS וכל דבר אפשרי .. עכשיו למה שתעשו את זה כי לאחיכם יש מיליון חשבונות לרפיד שאר קום או דה ואני יתן חשבון לשנה למי שיעזור לי ברצינות אם זה ואני גם מחפש מנהלים לאתר ואני מחפש אנשי אבטחה בקיצר אני גם בתחום חשבונות לכל מקום אפשרי בעולם אני יכול לתת אז בבקשה מי שמעוניין שייצור איתי קשר אי סי קיו 5595-5595 וזה האתר picknick.co.il
16/04/2007 23:54:59
tweester
אחי הסתכלתי טיפה על קצה המקל נראה מאובטח יחסית אני בטוח שכן יש לך חורים בכל מיני מקומות שוממים באתר אבל אין לי כוח לחפור בשעה 12 בלילה
28/04/2007 17:54:24
WaReZ
בדקתי את האתר טוב והוא לא מאובטח טוב.. אם אתה רוצה לדעת עוד דבר איתי בפרטי..
28/04/2007 20:30:20
cp77fk4r
לי אישית לא יצא לעבור עליו, אבל אני חושב שיכול להיות נחמד שמי שמוצא באגים במערכת של האתר, שיכתוב אותם פה, אף אחד לא ינצל אותם לרעה, אבל יוכל ללמוד להבא איפה כן יכולים לצוץ באגים ואיך למצוא אותם.
עריכה: טוב, ישבתי קצת, יש לך הרבה מאוד XSS באתר, שים לב שכל מי שיכנס עכשיו לאתר, יקפוץ לו ALERT עם XSS, זה בגלל ששמתי ב"תמונה אישית" של המשתמש את הסקריפט: <IMG SRC="jscriptalert(’XSS’);">
אגב, גם בשם משתמש יש XSS, השם משתמש שלי הוא: "<h1>!</h1>" וזה אכן מבצע את הסקריפט.
בעזרת שני הבאגים האלה אפשר לבצע גניבת קוקיז (למשל, מה שעשיתי עכשיו- אם הייתי משנה את הסקריפט טיפה, כל מי שהיה נכנס לאתר- הקוקיז שלו היה נשלח אלי וככה יכולתי להזדהות בשמו.)
תתקן את שני הבאגים ע"י ניפוי המחרוזות שהמשתמש מכניס במהלך ההרשמה (הורדת התווים ">" ו-"<" וכו’).[ההודעה נערכה על-ידי cp77fk4r ב-28/04/2007 20:45:48]
28/04/2007 22:54:12
WaReZ
יש עוד באגים..למשל אני אני נרשם..ופשוט משנה את הID ואני יכול להיות איזה משתמש שבא לי
עמודים:
1
