פירסום| מערכת משתמשים מקצועית חינם
 

שלום לכולם, היה לי די משעמם אז בניתי מערכת משתמשים מלאה היא כוללת :

• הרשמה
• התחברות
• לוח בקרה למשתמשים רשומים
• רשימת משתמשים
• אבטחה מלאה לכל דף
• מערכת הודעות פרטיות למשתמשים רשומים
• ניהול מובנה

עכשיו הסבר קטן, ניהול מובנה הוא בעצם ניהול שמובנה על המערכת עצמה זאת אומרת המערכת מזהה אם המשתמש שלך הוא דרגת מנהל ראשי אם כן אז יש לך אפשרויות במערכת שרק אתה רואה בתור מנהל כמו לערוך כל משתמש, למחוק כל משתמש, לראות הודעות פרטיות של משתמשים ולמחוק אותם.
המערכת פועלת בעזרת cookies, זאת אומרת ברגע שתצא מהאתר המשתמש שלך לא התנתק מהמערכת אלה רק אחרי שבוע ימים.

את המערכת תירגמתי ל 2 שפות עברית ואנגלית הבסיס היא בעברית אם רוצים אנגלית צריך לשנות 2 דברים בקוד. וזהו

עכשיו מה שאני רוצה ממכם אני מעלה את המערכת לקובץ rar מי שרוצה שיוריד ויבדוק את הקוד ויגיד לי מה לתקן ולשפר. הקוד די מבולגן כי הכל נמצא בדף אחד והוא דחוס עם תנאים אני חושב שהוא תיקני וקל לשימוש את זה אתם תחליטו. יכלתי לעשות את זה עוד יותר יעיל אבל זה סתם היה מסבך את העניינים.

הנה האתר לדוגמא: http://kfir91.off.co.il/users/index.php
הנה קישור להורדת המערכת: http://upload-il.com/?d=5029BF321 (הוראות התקנה בפנים)

למה זה בעצם טוב בוא תסביר לי ?
מה אני באמת יכול לעשות עם זה ?
זה למעשה כמו מערכת "לוגין" לפורום ?

זה מערכת משתמשים שאתה יכול לשלב בכל אתר.
אם זה פורטל אם זה פורום וכו'.

שם משתמש? סיסמא?

תירשם זה שנייה אחת ...

טוב מאוד ללימוד...
תודה רבה נראה מצויין

המערכת פריצה...
יש לי אפילו את האפשרות לשנות את הפרטים של המשתמש שלך kfir91, ושל שאר המשתמשים
וזה רק על קצה המזלג

יום טוב.

תשמע איך עשית שזה ישנה את הפרטים של אחרים ?

מערכת נחמדה,
בפעם הבאה שישעמם לך תוכל לעשות לי מערכת (:

צור איתי קשר באחד מתוכנות המסרים(פרטים בחתימה)
ואני יסביר לך את בעית האבטחה וגם אדגים לך את השינויים
וגם אעזור לך לתקן אותם
אבל המערכת ממש פריצה...

יום טוב

נראה נחמד =] תודה ^_^

שמתי לך כמה דוגמאות באתר
אל תדאג שום דבר לא מהווה פירצה לשרת אלא רק למערכת
אני ממליץ שתלמד קצת על אבטחה
ובכלל לכל מתכנת מומלץ לדעת איך לאבטח
על מה להתמקד במערכת זו:
*עוגיות(שינויים וכדומה)
*XSS

שים לב ואל תחשוב שאני מנסה להרוס לך כי זה ממש לא נכון, אני מנסה לעזור לך לתקן ולשפר את המערכת , כל הכבוד שאתה משחרר מערכות בחינם.

את הגישה לניהול קיבלתי על ידי שינוי עוגיות
את הגישה לעוגיות של משתמשים והודעות על ידי XSS

יום טוב

אוקי סידרתי הכל עשיתי הגנה =]

עדיין פריץ.
ואי אפשר לשנות פרטי משתמש, זה עושה error.

צור איתי קשר אניא עזור לך.

סידרתי שיהיה אפשר לשנות פרטי משתמש היה בעיה קלה עם הפונקציה של ההגנה לא משהו מיוחד.
מה זאת אומרת עדיין פריץ מה עוד?

אני רוצה להוסיף לזה בקרוב גם איזה משתמשים און ליין ועוד כמה הגנות בהכנסת שם משתמש תווים שגוים וכו'... ועוד אפשרות שיבדוק אם האייפי נרשם לאתר כבר אם נרשם לא יוכל להירשם שוב...

הצלחתי לפרוץ לך למשתמש..
תיצור איתי קשר אני אעזור לך לחסום את זה.

אוקי יצרתי קשר ...
הוספתי אפשרות שמי שנרשם בעבר לאתר לא יכול להירשם שנית =]

אני לא רואה שום שינוי מאז ההודעה האחרונה שלי(בתחום האבטחה)
עדיין יש XSS
ועדיין יש לי גישת מנהל

תעדכן
נ.ב : יש בעיה עם השדה דואר אלקטרוני

עם הדואר אלקטרוני נפתר, עכשיו איך יש XSS תנסה להירשם עם script alert ותראה שלא תצליח
וגישת מנהל תתנתק רגע מהמערכת ותנסה להתחבר שוב למנהל ולא תצליח.

התנתקתי
הורדה לי הגישה אבל החזרתי אותה תוך פחות מחצי דקה בלי שום סיבוך
כלומר להלן אני יחליף את הסיסמא של kfir91
ל : 112111212
*החלפתי*

וה - XSS תוקן אני רואה

איפה ההרשמה?

הורדתי את המערכת רק חבל שהיא פריצה :(
אחכה לעדכון שלך.

התחברתי :O
ואז נחסמתי ועוד לא עשיתי כלום XD

זה אראה לכם שאתם חסומים כי בדיוק עבדתי על המערכת חסימות אז זה אראה לכולם אפילו שהם לא היו חסומים
עכשיו זה עובד זה יציג לכם מה שזה אמור להציג אפחד לא חסום.
אל ibmod עדיין לא הבנתי איך אתה משנה את הפרטים של המנהל שלי ? :\
תסביר כדי שאני יתקן

הוסבר :)
תעבוד על זה ותשחרר את המערכת
ותוכל לבקש מאחד המנהלים פה שיערוך לך את ההודעה הראשית עם קישור הורדה מעודכן

יום טוב

אוקי הכל תוקן כל הבאגים והבעיות.
הוספתי חסימת משתמשים ושיחרור חסימה של מנהלים
עכשיו אני עובד על דף מנהלים עם הגדרות של הוספת דירוגים וקבוצות ומנהלים =]
ואחרי זה אני אשחרר הורדה מעודכנת של הכל. כנראה מחר בערב =]

המערכת בכלל לא עולה לי עכשיו.

Address Not Found

הקישור של הדמו לא פועל

דמו מתוקן:
http://kfir91.off.co.il/users/index.php

עדיין פריץ..

תיצור איתי קשר במסנג'ר ואני אעזור לך

חח הוא לא פרסם את הגרסה החדשה נדמה לי

הוא כן, יש לו שם לוח בקרה חדש. (למנהלים בלבד |Lol|)

צודק גם אני הצלחתי להיכנס לשם המשתמש שלו
זה פריץ
והצלחתי להשיג גישות ניהול

תענה במסן אתה לא עונה רום

איך פרצתם הפעם?
אתה הסברת לי על הקוקיס . אני נכנסתי עכשיו לקוקיס שהתחברתי ואני לא רואה שום מידע שאפשר להתחבר איתו
אז איך הפעם פרצת

הסברתי לך על הקוקיס ולא ישמת את זה כמו שצריך
וזה דרך הקוקיס
תצור איתי קשר באייסי/מסן ואני יסביר לך את בעית האבטחה
ובעצם מה שעשיתה עכשיו נתן אפשרות להתחבר לכל משתמש במערכת(כלומר דרך הפירצה)

שים גם קוקיז של סיסמה

לא ישמתי ?
אין יותר קוקי של סיסמא ושל הרשאה
אתה עושה יענו לפי ה id ?

ממש לא נוח להסביר פה
אתה מוזמן ליצור איתי קשר והכל יוסבר
בכל מקרה המערכת עדיין פריצה(בקטע של הקוקיז)

אתה לא שולח הודעות..

ועכשיו אין לך קוקיז של סיסמא, יש לך רק שם משתמש וID, כך שאפשר לשנות פשוט את השם משתמש והID.