מערכת משתמשים מאובטחת מעודכנת ולהורדה חינם =]
 

הנה המערכת המעודכנת היא מאובטחת מאוד אין שום באגים
הוספתי קובץ התקנה למערכת הוספתי לוח בקרה למנהלים מקצועי יותר. מי שרוצה ניהול שישלח לי הודעה פרטית

להורדת המערכת לחצו כאן :
http://sportn.co.il/users/users.rar
זה דמו : http://sportn.co.il/users/
להתקנת המערכת אתם צריכים להיכנס לקובץ : install.php?act=index כמובן עם הקישור שלכם =]

אני לא מצליח להרשם בדמו, ERROR: Unknown column 'promession' in 'field list'.

סודר(גם בהורדה)
מי שזה לא יהיה שניסה להירשם בשם שלי והצליח
אל תדאג לניהול לא תצלח להיכנס עם השם שלי... אז זה לא כזה חשוב אם אתה תהיה עם השם שלי או לא

http://sportn.co.il/users/index.php?...;%3C/script%3E

XSS

עריכה:
עוד משהו מגניב:
lala fasd asdfsad משתמשים asdf גבר

סודר הגיל בהורדה גם.
ה XSS סודר גם בהורדה.

נחמד מאוד

אמרת שהיא מאובטחת? כבר מצאו כמה באגים.

ועוד כמה דברים לשפר שממש "חייב".

1. סיסמא מוצפנת בהצפנה חד צדדית.
2. כל מקום שיש זמן - אתה מכניס time() למסד.
3. הראנק צריך להיות בטבלת המשתמשים בעזרת ID - תלמד קצת יותר mysql ועל JOIN
4. התכנות שלך לטעמי מאוד לא מובן.
5. יש בזבוז משאבים נוראי
6. בנוסף, מצאתי מספיק חורים שמאפשרים הזרקת SQL והתחזות למנהל.

מצאו כמה חורי אבטחה, ואני לא הולך לעבור שורה שורה ולגלות עוד, היוזמה מצויינת, אבל גם עכשיו - אתה צריך לתת את מה שאתה אומר.

ורק כדי להוכיח את הנקודה - שיניתי את שם המשתמש שלך ל-kfir911.
ואני כמעט בטוח שבגלל המערכת הזאת, אפשר גם להשיג גישה לאתר sportn.co.il. לא ניסתי כל כך הרבה - אבל שתדע.

אני מציע לך לעבוד על המערכת שלך לפני שאתה משחרר אותה...

איך שינית
בקשר ל 1
קטע מתוך ה cookies שהתחברתי :

password
d26c5b6a6daf60d603dbada6ff934a89
sportn.co.il/

מוצפן או לא ? :\ אל תגיד סתם
בקשר ל 2
מה אכפת לך שאני מכניס date ? אני רוצה להשתמש בזה כי אני רוצה רק חלק ולא את כל ה time
בקשר ל 3 הראנק נמצא בטבלת משתמשים בתור yourgroup .
אמרתי שהוא לא מובן הוא ארוך ומסורבל.
אני לא אוהב להשתמש בפונקציות אני אוהב שהכל מונח לפניי .
בזבוז משאבים לא פוגע בשום דבר כמדומני :\
אפחד לא צריך לדעת איך נראה הקוד שלי צריך לראות רק איך זה נראה על הדף

בשביל לעזור לי לפתור את הבעיות אבטחה תגיד לי איזה פריצות מצאת ואני יסדר

יכול להיות שאפשר להבין את הטענות שלך בשביל מערכת אישית וקטנה של מערכת משתמשים בשביל ללמוד, אבל לא מעבר.
"אני לא אוהב להשתמש בפונקציות"?!
בזבוז משאבים פוגע בבזבוז משאבים.
אם יש לך רצון להתקדם תקבל ביקורת גם אם היא קשה בתור בונה..ההפך אתה צריך לומר תודה :]
בהצלחה!

בסדר הגבתי לו סה"כ מה אסור?
וחוץ מזה שוב מה זה משנה בזבוז משאבים בנאדם שגולש במערכת לא יודע שום דבר על הקוד.
זה לא מאט את האתר ולא כלום אז מה זה משנה :\

אבל זה גומר לך את התעבורה ואז לא ניתן להכנס לאתר שלך
(אני מדבר על אתרים גדולים)

אפעם לא שמעתי שתיכנות פשוט כל ככך גומר את התעבורה :\
אם נגמר לך פעם התעבורה אז השרת שלך היה בשקל תשעים :\
וגם לא ידעתי שתעבורה נגמרת :\

יש מגבלת תעבורה
אם יש לך אתר גדול עם הרבה גולשים ואתה מבזבז הרבה משאבים אז התעבורה שלך תיגמר הרבה יותר מהר

כול הכבוד על היוזמה, ההשקעה.
לא הבנתי דבר אחד .. למה אתה משתמש בקוקיז במקום בסיישנס? אתה יכול לעלות את רמת האבטחה בשניה...
ולמה אתה לא משתמש בhtmlspecialchars ? למה לסנן תג תג?

שיהיה לך בהצלחה, רואים התקדמות גדולה מהמערכת הקודמת, המשך כך.

יש בזבוז משאבים נוראי, המון חורי אבטחה, קוד לא מאורגן,
ולמה לא לשמור ב-time? למה? בכל מערכת נורמאלית זה שמור ככה.

הראנק בטבלת המשתמשים צריך להיות מספרי, ולקשר אל הראנק בטבלה.

תתקן את כל מה שעד עכשיו מונח על הכף, ואני אראה לך את השאר.

אם אתה לא מאמין לי, אתה מוזמן לבקש ממני ליצור טבלה, למחוק משתמש, וכדומה, ואני אעשה זאת.

כדי שהפרטים לא יעלמו בעת יציאה :\

:-0 בסיישן אתה יכול להגדיר זמן תפוגה, והם לא נעלמים עד שאתה לא מעלים אותם.

שהדפדפן נסגר הסיישן נסגר איתו.
אפשר להשתמש בקוקיס, כל המערכות הרציניות משתמשות בקוקיס, פשוט צריך לדעת לעבוד ולאבטח אותם נכון.

לא יודע מה איתך, אבל במערכות שאני בונה אני משתמש בסיישנים, ואפילו שאתה יוצא מהעמוד, כשאתה חוזר אליו אתה נשאר מחובר, כול עוד לא לחצת על התנתקות(ששם אני מוחק את הסיישן).

נחמד מאוד,
תודה :)

תנסה שוב.. תסגור את הדפדפן כנס שוב לאתר ותראה

------------------

אחלה מערכת תודה

אם אתה לא מבין אל תרשום סתם

מטומטם אני עדיין לא, ולא נתתי דוגמא ממערכת ראשונה שבניתי.

אתה מדבר אלי?
כי אני לא נתתי לך דוגמא מהמערכת הראשונה שבניתי,
ואני יוכל בכיף לתת לך דוגמאות בפרטי.

בכול מקרה מה שלא תעשה, שיהיה לך בהצלחה.

אתה עושה צחוק ? סיישן זה נשמר על השרת אין שום סיכוי שאם אתה יוצא מהאתר הוא לא ימחק !

לא מדוייק,לשרת אין שום דרך לדעת אם עזבת אותו/סגרת את הדפדפן לבד.

לא מדויק אבל עדיין שאתה יוצא מהאתר או שעובר זמן מסויים הסיישן נמחק !
הוא לא נשמר על המחשב אין סיכוי שהוא עשה את זה.

המידע עצמו נשמר על השרת,אבל איך השרת יודע לשדך בין המשתמש הספציפי לסשן?
לפי מידע מהדפדפן.
בתוך זמן תפוגת הסשן(20 דקות בדרך כלל)אם השרת לא קיבל שום בקשה,הוא ימחק את הסשן.
ואם המשתמש סגר את הדפדפן העוגיה שמכילה את המידע של הסשן תמחק מהדפדפן.
אבל אם אני אכתוב קוד שכן יזכור אותה וישלח אותה בתוך 20 דקות,אני עדיין אקבל את המידע.

תוקן

http://sportn.co.il/users/index.php?act=memberslist
לא ממש

איך אתה משנה תשם :\ ?
למשל אם אני רושם <script>alert(document.cookie)</script>
זה מכניס את זה כמו שצריך עם האבטחה הוא מחליף ת script ב sec

מה שעכשיו עשיתי זה לא ממש באג במערכת, אלא בעייה בטחונית בדרך עבודה שלך.