DH Anasayfa
İndirim Kodu
Ara
Popüler
Foruma Git
Hakkımızda
Destek
Mobil Sürüm
Standart Site Görünümü
Bu Konuda
  • Tüm Forumlar
  • Web Tasarım - Programlama
  • Yazılım Geliştirme
  • PHP / CGI
  • Bu Konuda
Arama butonu
Bağlan:
Facebook
Google+
Twitter
Aşağı Git Tüm Forumlar Web Tasarım - Programlama Yazılım Geliştirme PHP / CGI Site hataları ve açıkları inceleme
Bu konudaki kullanıcılar: 1 misafir
7
Cevap 2043
Tıklama 0
Öne Çıkarma
Site hataları ve açıkları inceleme
Cevap Yaz
Konuya Özel
A
aksoydesign
11 yıl
Yüzbaşı
Konu Sahibi

Arkadaşlar üzerinde çalıştığım yazılım bitmek üzere. Yazılımın hataları varsa açıklarını inceleyebilirmisiniz.

Ve yazılım hakkındaki görüşlerinizide duymaktan onur duyarım.

Site adresi : www.cyprustore.com

Kod yapısı PHP sürüm 5x

HTML yapısı : html5

DH forumlarında vakit geçirmekten keyif alıyor gibisin ancak giriş yapmadığını görüyoruz.

Üye olduğunda özel mesaj gönderebilir, beğendiğin konuları favorilerine ekleyip takibe alabilir ve daha önce gezdiğin konulara hızlıca erişebilirsin.

Üye Ol Şimdi Değil
Bir Daha Gösterme



A
aksoydesign
11 yıl
Yüzbaşı
Konu Sahibi

Arkadaşın birisi kulanıcı adı olmadan siteye kayıt olmayı başarmış :) teşekkürler inceleme yaptığı için...



D
DoubleDragon
11 yıl
Yarbay

Merhaba,
sahibinden.com benzeri bir site yapmışsınız. Siz mi yazdınız yoksa hazır bir script editleyerek mi bu hale getirdiniz? Bu tarz bir site yapabilmek bilgi ve emek ister. Siz yazdıysanız tebrik etmek lazım.

Evet yorumlara geçelim. Yorumlar biraz şakayla karışık oldu, inşallah alınganlık göstermezsiniz.

Ben bu işleri fazla bilmem ama çok açıkları var gibi duruyor. Mesela;

Biraz kurcaladım, üyelik formu doldurmadığım halde "Tebrikler Üyelik İşlemleriniz Başarıyla Tamamlanmıştır" sayfasına ulaştım. İyi bir program böyle bir duruma izin vermemelidir.

< Resime gitmek için tıklayın >




Üye olmadan üyelik paneline giriş mümkün!!! Admin paneli neredeydi, bir de oraya baksaydık :)

< Resime gitmek için tıklayın >




Cüzdana para da yükleyelim :) Parayı havale yapsam kimin hesabına geçer acaba?

< Resime gitmek için tıklayın >




Üye olmadan ilan verebilmek!!! Her ne kadar "İlan verebilmek için giriş yapmalı veya üye olmalısınız" dese de biraz ısrar edince sizi kıramıyor ve üyeliksiz ilan vermeyi de kabul ediyor.

< Resime gitmek için tıklayın >


Benim gibi işi bilmeyen biri basit kurcalamalarla buralara kadar girdiyse sitenizi hedef alan hacker, admin bile olur.

Site pek sağlam gibi durmuyor. Daha çalışma ister.
Kolay gelsin...




Bu mesajda bahsedilenler: @aksoydesign
A
aksoydesign
11 yıl
Yüzbaşı
Konu Sahibi

Üye girişindeki açığı bilerek bıraktım, sebebi ise bu açıktan ne gibi işlemler yapılabilirdi ki siz zaten bunu gösterdiniz.

Ayrıca, cüzdan bakiyem de miktar girip havale yap denildiği zaman size bir havale numarası veriyor. Aşağıdaki banka hesap numaraları listeleniyor bu havale numarası ile bankaya yatırım yapıldığı zaman admin kontrol edip, onay veriyor. onay vermediği taktirde hesap bakiyeniz güncellenmez. yani girdiğiniz sayfa zaten olması gereken sayfa.


Site test aşamasında olduğu için hesap numaralarına doğru yazmadım.


Ayrıca üyelik sisteminde bıraktığım açıktan dolayı üye ol dediğiniz zaman veritabanına boş kullanıcı adı şifre atıyor.

ilan verme ve bunun gibi işlemler de de üye kontrolü yapılıyor. session ile gelen değer ile veritabanındaki değer eşse işlem yapılabilir.

Sizde boş bilgileri veritabanına gonderdiniz ve session değeride boş olduğu için üyesiz işlem yapabiliyorsunuz. aslında maksatım ilk bakılacka yerin bu olacağını düşünmem di o yüzden açık bıraktım aslında açık denmez.

Sizin değereriniz boş olduğu için ilan ekleme yapsanızda birşey değişmeyecektir. sonuç olarak, ilan listelenme ve diğer işlemler üyelik kullanıcı adı kimlikno kontrolünden geçiyor.

Ürün satınalma, gibi işlemlerde kullanıcı fatura adresi posta numarası tcno gibi bilgiler boş ise işleme almıyor. mecburen bu bilgileri doldurmanız lazım.

eğer kullanıcı adınız boş ise üye güncelleme kısmıda devre dışı kalıyor.


Bunlar dışında benim asıl istediğim şey şu. Php SQL İnjection açıklarını bulmak.

Üyeye ait olmayan ilanı düzenleme silme doping yapma, başkasının şifresini ve kullanıcı adını bilmeden o kişi adına işlem yapılıyormu yapılamıyor mu.
Şuan üye kaydını deneyin mesela. bıraktığım açıkları eski haline aldım.



Ayrıca ilginizden dolayıda teşekkür ederim. Yazılım bana ait. Başka açıklar bulursanız burada paylaşırsanız sevinirim :)


Bu mesaja 1 cevap geldi.

Bu mesajda bahsedilenler: @DoubleDragon
D
DoubleDragon
11 yıl
Yarbay

Siteye biraz daha bakayım dedim ama site açılmıyor. Beni banladı galiba :)

quote:


Forbidden

You don't have permission to access / on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache/2.2.27 (Unix) mod_ssl/2.2.27 OpenSSL/1.0.1e-fips mod_bwlimited/1.4 Server atwww.cyprustore.com Port 80




Bu mesajda bahsedilenler: @aksoydesign
A
aksoydesign
11 yıl
Yüzbaşı
Konu Sahibi

o sistem üzerinde çalışıyordu açıkları bulmak gibi bir eğilimde bulunulduğu zaman serverden ip ban atıyor.

Banı açıyorum tekrar kontrol edebilirsin :)




Bu mesajda bahsedilenler: @DoubleDragon
M
MONSTERKING
11 yıl
Teğmen

Bence gayet başarılı tebrik ediyorum



< Bu ileti mobil sürüm kullanılarak atıldı >
A
aksoydesign
11 yıl
Yüzbaşı
Konu Sahibi

Teşekkür ederim



Cevap Yaz
Tüm Forumlar Web Tasarım - Programlama Yazılım Geliştirme PHP / CGI Site hataları ve açıkları inceleme
DH Mobil uygulaması ile devam edin. Mobil tarayıcınız ile mümkün olanların yanı sıra, birçok yeni ve faydalı özelliğe erişin.
App Store'danİndirin Google Play'denİndirin
Gizle ve güncelleme çıkana kadar tekrar gösterme.
DonanımHaber Forum - Mini Sürüm

Hakkımızda | Yukarı

Tam sürüm için tıklayınız
Version: 1.2.871
Donanım Sponsoru: incehesap.com