Forum
Aktif konular
Üyeler
Kurallar
Arama
Tahribat.com Forumları 
Web sitesi Güvenliği, DOS - DDOS Saldırıları... 
Siteyi Test Edebilir Misiniz ? (Hack,İçerik,Görsellik Vb.) Siteyi Test Edebilir Misiniz ? (Hack,İçerik,Görsellik Vb.)
-
Merhaba hocalar
Tanıdık bir kuyumcuya mini bir e-ticaret sitesi yapmaya çalıştım.
Tasarımı r10.netten bir elemana yaptırdım, yazılımınıda kendimce ben yazmaya çalıştım.
çoğu yeri açık değil ama ana kısımlar açık sipariş verme, sepet olayı ,sipariş durumu ,ödeme bildirimi, ürün detayı ve Profil kısmı
Sizlerden ricam üye falan olarak ya da olmadan hack işlemlerini ve her türlü açık bulmayı deneyebilir misiniz sql inj, xss ve bir çok açığı.
sef url yapılacaktır sistem onu en son yapmayı düşünüyorum bu haliyle bakınız lütfen
birde host çok yavaş mysql işlemlerini geç yapıyor gibi tabi iyileştirme yapıcam bende.
Site Adresi şimdilik : http://sarraf.etuncer.com/
Ayrıca orda ki fiyatlar gerçekttir.ilk 2-3 ay sadece sarrafiyelik ürünler satacağız o zamana kadar Kredi kartı olayı ve kargo da gelecektir.
Netten bulup bulabileceğiniz en düşük fiyattır.
Açtığımda TBTye özel indirimi yapıcam.
İstanbul şişlide yerimiz , Elden almak isterseniz adı mı verseniz yeterli .
-
loglardan bakıyorum da beyler arkadaşlardan bazıları çok iyi çalışıyosa sağolsun sanırım bi programla deniyor hepsini.
sadece bir sıkıntı sezdim urun.php de kontol var ama ürünün olup olmadığına dair sayı verisine ait kontrol yok onu da yaptım mı tamamdır.
şu sorguyu deneyince kasıyor bu da serverı yorar büyük ihtimal.
http://sarraf.etuncer.com/urun.php?id=999999.9+union+all+select+0x31303235343830303536--
999 olarak baslayanları engellemem gerekli.
devam etsin o arkadaş bakalm daha neler çıkacak :)
bide pm atmıştı DesquneR bazı textboxlardaki kontrolleri yapmam için uyarmıştı haklı olarak onlarıda halledicem inş. güzel veri elde edebilmem için
EmQceR tarafından 22/Kas/13 23:37 tarihinde düzenlenmiştir -
muhtemelen yarına kadar o siteyi götürürler gibime geldi :D kolay gelsin :D
-
e ticaret sitesi yazılımını kendin yapman yasal degil diye biliyorum ama yanlış mı biliyorum?
-
EmQceR bunu yazdı
loglardan bakıyorum da beyler arkadaşlardan bazıları çok iyi çalışıyosa sağolsun sanırım bi programla deniyor hepsini.
sadece bir sıkıntı sezdim urun.php de kontol var ama ürünün olup olmadığına dair sayı verisine ait kontrol yok onu da yaptım mı tamamdır.
şu sorguyu deneyince kasıyor bu da serverı yorar büyük ihtimal.
http://sarraf.etuncer.com/urun.php?id=999999.9+union+all+select+0x31303235343830303536--
999 olarak baslayanları engellemem gerekli.
devam etsin o arkadaş bakalm daha neler çıkacak :)
bide pm atmıştı DesquneR bazı textboxlardaki kontrolleri yapmam için uyarmıştı haklı olarak onlarıda halledicem inş. güzel veri elde edebilmem için
999 olanları eleme degilde direk (int)$_GET['id']; yapman yeterli olacaktır
-
tasarım 10 numara olmuş yanlız çok beğendim
-
kendimi tatmin ettim. şimdi siteyi test etmeye geldi. sitede açık bulursam 1 senelik vps alırım :P
-
tasarımı kendinmi yaptın güzel olmuş
-
SQL injectiondan kaçınmak mı istiyorsun? Prepared Statement kullan! Bunu mysqli eklentisi veya PDO sınıfı (tavsiyem) ile yapabilirsin. PHP.net den dediklerimi araştır.
XSS için kullanıcıdan alınan tüm verileri filtreden geçir. HTMLpurifier önerimdir.
DrKill tarafından 23/Kas/13 01:21 tarihinde düzenlenmiştir -
FOXXLY bunu yazdı
tasarım 10 numara olmuş yanlız çok beğendim
-
tasarımı beğenemedim. çok karışık duruyor.
Kısayol
Şikayet
Özel Mesaj
Alıntı yap
Cevapla