הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   אתר צה"לי - בדיקת חורי אבטחה, דחוף! (https://hosts.co.il/forums/showthread.php?t=82857)

TruTion 29-05-10 20:37
אתר צה"לי - בדיקת חורי אבטחה, דחוף!
 
שלום,
אתר צה"לי שאני מפתח לגדוד שלי זקוק לעזרתכם.
אני בניתי מערכת של רשת חברתית לכלל החיילים בגדוד (בהוראת המג"ד כמובן),
ואני צריך את עזרתכם מבחינת מציאת חורי אבטחה בקוד, כיוון שאיננו מומחה בתחום.
במידה ומצאתם חור אבטחה בבקשה לציין את הדברים הבאים:
  • העמוד בו קיים החור:
  • פרוט יותר נרחב על חור:
  • כיצד מתקנים אותו:

כיוון שאינני מומחה בPHP כל עזרה תתקבל בברכה, בהדרכה כיצד לתן את החורים.
עלי לציין שאין כל רווח אישי מהאתר, אלא נטו בשביל חיילים.

כמו כן, אשמח לקבל ביקורת על המערכת שבניתי =]


קוד:
כתובת האתר: http://facetools.co.il/taoznet/index.php
שם משתמש: 123456789
ססמא: 123456789
*עשו לי טובה ואל תשנו את הססמא של המשתמש, זה סתם יעכב את התהליך.



תודה מראש,
גיא חברה.

Kernel 29-05-10 20:47
ממתי חושפים סד"כ באנטרנט/לאנטרנט?

תפנה לקב"ט בגדוד שלך, נראה מה הוא יגיד על זה.

אדיר 29-05-10 20:50
http://facetools.co.il/taoznet/profile.php?id[]
http://facetools.co.il/taoznet/profile.php?id=21
http://facetools.co.il/taoznet/search.php?s[]
http://facetools.co.il/taoznet/showpost.php?id[]
http://facetools.co.il/taoznet/showpost.php?id=41

XSS, Path Disclosure.

ובטח יש עוד.. כבר התייאשתי :).

TruTion 29-05-10 20:56
ציטוט:
נכתב במקור על ידי Kernel (פרסם 765743)
ממתי חושפים סד"כ באנטרנט/לאנטרנט?

תפנה לקב"ט בגדוד שלך, נראה מה הוא יגיד על זה.

שמע, אין סד"כ כרגע ואין כלום!
המסד רייק, לכן פרסמתי אותו.
אני מש"ק הבטיחות של הגדוד.. תאמין לי שאני יודע את הדברים האלה,
אתר לא יאושר סופית מבלי אישורי מחב"ם וכדומה.


xPerfection, במקום לבוא כנגדי, תעזור לי בבקשה.

אדיר 29-05-10 20:59
איפה באתי נגדך? סך הכל אמרתי מה מצאתי..

עריכה:
סבבה, נסגור אותך כבר במסן.

Daniel 29-05-10 23:20
ציטוט:
נכתב במקור על ידי TruTion (פרסם 765745)
שמע, אין סד"כ כרגע ואין כלום!
המסד רייק, לכן פרסמתי אותו.
אני מש"ק הבטיחות של הגדוד.. תאמין לי שאני יודע את הדברים האלה,
אתר לא יאושר סופית מבלי אישורי מחב"ם וכדומה.


xPerfection, במקום לבוא כנגדי, תעזור לי בבקשה.
לא רק שהוא לא בא נגדך - ואני לא בא כאן בגישה רעה, אבל אתה כמש"ק בטיחות צריך לעשות דברים כאלה בצורה הטובה ביותר ובקשת "עזרה בבדיקה של חורי אבטחה באתר צהלי" - פורום הוסטס הוא לא המקום האידיאלי (וכמובן שכל פורום בכל רמה מקצועיות שהיא לא בדיוק מתאים לדברים כאלה).

בכל מקרה, מה זה הדבר הזה שבקוקיס יש base64 של ה-ID וכל מיני דברים? מה הבעייה של מישהו לשנות את זה?

+תאריך התחברות בפעם האחרונה לא שומרים בקוקיס אלא במסד...

EBSites 31-05-10 17:03
מערכת נחמדה, אך הרעיון טיפשי לפי דעתי.
אתם מתכננים לפרסם שם דברים מסוווגים לא? (וכמובן רק למי שבגדוד תיהיה גישה לשם, אך בכל זאת רעיון מאוד טיפשי)
איך המג"ד שלך אישר את זה בכלל?

~The_Sultan~ 31-05-10 17:39
לא חושב שענת קם בגדוד שלהם שמסמכים מסווגים יגיעו לשם. זה בטח רשת חברתית סגורה לחיילים האלו, הם מעדיפים אותה מאשר פייסבוק. תאמין לי שצה"ל לא יתחיל להודיע על פעולות לחיילים שלו דרך האתר הזה..

TruTion 31-05-10 20:33
ציטוט:
נכתב במקור על ידי EBSites (פרסם 765998)
מערכת נחמדה, אך הרעיון טיפשי לפי דעתי.
אתם מתכננים לפרסם שם דברים מסוווגים לא? (וכמובן רק למי שבגדוד תיהיה גישה לשם, אך בכל זאת רעיון מאוד טיפשי)
איך המג"ד שלך אישר את זה בכלל?
1. למה נראה לך שיהיה שם דברים מסווגים?, הכל בלמ"ס ולא יהיה שם בכלל תוכן צבאי מכל סוג שהוא!
זה רשת חברתית לגדוד, ופניה לבוגרים עם ראיונות עבודה.
2. זה רעיון של המג"ד שלי, אני רק מבצע.


הגישה לאתר היא רק לחיילי הגדוד, כי זה הרעיון שלו.

EBSites 01-06-10 11:29
ציטוט:
נכתב במקור על ידי TruTion (פרסם 766032)
1. למה נראה לך שיהיה שם דברים מסווגים?, הכל בלמ"ס ולא יהיה שם בכלל תוכן צבאי מכל סוג שהוא!
זה רשת חברתית לגדוד, ופניה לבוגרים עם ראיונות עבודה.
2. זה רעיון של המג"ד שלי, אני רק מבצע.


הגישה לאתר היא רק לחיילי הגדוד, כי זה הרעיון שלו.

מזה "מסוווגים" התכוונתי שבטוח תדברו שם על דברים שחוץ ממכם אחרים לא צריכים לדעת, אני צודק?

בכל מקרה, אני מאחל לך הצלחה עם האתר.


כל הזמנים הם GMT +2. הזמן כעת הוא 21:52.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ