صفحه 1 از 3 123 آخرینآخرین
نمایش نتایج: از شماره 1 تا 10 , از مجموع 25

موضوع: اسکریپت رایگان تیکتینگ مونیکس (منتشر شد) v 1.0

Hybrid View

پست قبلی پست قبلی   پست بعدی پست بعدی
  1. #1
    Ami-Karimi آواتار ها
    تاریخ عضویت
    Jan 2016
    نوشته ها
    369
    تشکر
    136
    323 بار تشکر شده در 170 پست

    اسکریپت رایگان تیکتینگ مونیکس (منتشر شد) v 1.0

    با سلام

    در پیرو تایک
    http://forum.shopkeeper.ir/showthrea...281#post588281
    قرار بر این بود اسکریپت بومی رایگانی ارائه شود به نام مونیکس که خداروشکر امروز به اتمام رسید،
    فایل های اموزشی در فایل دانلودی موجود میباشد

    آدرس سایت : http://monix.ir
    انجمن پشتیبانی : http://forum.monix.ir/
    شما میتونید فایل رو از وبسایت دانلود کنید
    بنده توضیحات بیشتر رو چند ساعت دیگر کامل خواهم کرد (دوستان عجله داشتند زودتر منتشر بشه)

    دوستانی که ابتدا فایل رو دانلود کردند با عرض پوزش فایل sql مشکل داشت
    دانلود فایل sql
    ویرایش توسط Ami-Karimi : 2017-01-04 در ساعت 04:24


  2. کاربران زیر به خاطر این پست از Ami-Karimi تشکر کرده اند :


  3. #2

    تاریخ عضویت
    Jan 2015
    نوشته ها
    278
    تشکر
    180
    158 بار تشکر شده در 100 پست
    سر فرصت نصب میکنم ایرادات و باگ هاشو حتماً میگم خدمتتون ولی به هیچ عنوان تو ایران هیچ چیزی رو رایگان و زند نشده رایگان در اختیار کسی قرار ندید !

  4. کاربر زیر به خاطر این پست از behforosh تشکر کرده است :


  5. #3
    Ami-Karimi آواتار ها
    تاریخ عضویت
    Jan 2016
    نوشته ها
    369
    تشکر
    136
    323 بار تشکر شده در 170 پست
    نقل قول نوشته اصلی توسط behforosh نمایش پست ها
    سر فرصت نصب میکنم ایرادات و باگ هاشو حتماً میگم خدمتتون ولی به هیچ عنوان تو ایران هیچ چیزی رو رایگان و زند نشده رایگان در اختیار کسی قرار ندید !
    سلام مجدد
    ایرادات و باگ های احتمالی رو در انجمن پشتیبانی میتونید بیان کنید گرامی (گرچه باگ فکر نکنم داشته باشه،ایراد چرا شاید داشته باشه)
    عزیز سیستم بصورت اپن سورس هست که در ورژن بعدی قابلیت نصب پلاگین و تغییر قالب + سیستم api منتشر میشه (البته همه در یک آپدیت انتشار داده نمیشه)
    این سیستم پایه بود بدون اینکه به سیستم ما متصل بشه برای دریافت اخبار و... انشالله در اپدیت ها بعدی وجه های متمایز این اسکریپت را مشاهده خواهد کرد
    البته الان هم خدتون میتونید قالبش رو تغییر بدید به هر شکلی که خواستید..... زیاد پیچیده نیست

    منتظر نظرات دوستان هستیم
    ارادت

  6. #4

    تاریخ عضویت
    Mar 2011
    نوشته ها
    149
    تشکر
    3
    38 بار تشکر شده در 21 پست
    امکان اینکه روی سرورهای ایران سایت رو بالا بیارید وجود نداشت؟
    دامنه های فروشی من
    psdX.ir - Marketkhan.ir - marketPrime.ir
    ارتباط با پیام خصوصی و nashrefile@

  7. #5
    Ami-Karimi آواتار ها
    تاریخ عضویت
    Jan 2016
    نوشته ها
    369
    تشکر
    136
    323 بار تشکر شده در 170 پست
    نقل قول نوشته اصلی توسط Ehssan_it نمایش پست ها
    امکان اینکه روی سرورهای ایران سایت رو بالا بیارید وجود نداشت؟
    سلام
    اگر منظور شما سایت ما هست ،خیر سروری که داریم از امریکا هست..
    ضمنا برای لود سایت میگید؟

  8. #6
    کاربر فعال انجمن شاپ کیپر bestirani2 آواتار ها
    تاریخ عضویت
    Aug 2011
    نوشته ها
    879
    تشکر
    321
    909 بار تشکر شده در 520 پست
    سلام دوست عزیز
    من به صورت سطحی اسکریپت شما رو مشاهده کردم تا اگر باگ امنیتی دیدم بهتون خبر بدم.
    اولین چیزی که توجه من رو جلب کرد حمله از طریق RFI بود.
    به عنوان مثال شما آدرس route=../../tk-panel/controler/setting_system رو وارد کنید، میبینید که به فایل ها فولدر tk-panel میتونید دسترسی پیدا کنید.
    مورد دوم که توجه من رو جلب کرد این بود که هنگام اپلود فایل تنها پسوند فایل رو بررسی میکردید. میشه خیلی راحت در فایل پی اچ پی رو پسوندش رو به zip تغییر داد و به سایت شما ارسال کرد.
    مورد سوم که خدمتتون میگم امنیتی نیست. یک پیشنهاد هست. به نظرم حتما یک فایل نصب درست کنید. چون این مدلی خیلی از کاربرها نمیتونند استفاده کنند. از نظر ادرس دهی هم روی ساب فولدر مشکل وجود داشت.

  9. کاربران زیر به خاطر این پست از bestirani2 تشکر کرده اند :


  10. #7
    Ami-Karimi آواتار ها
    تاریخ عضویت
    Jan 2016
    نوشته ها
    369
    تشکر
    136
    323 بار تشکر شده در 170 پست
    نقل قول نوشته اصلی توسط bestirani2 نمایش پست ها
    سلام دوست عزیز
    من به صورت سطحی اسکریپت شما رو مشاهده کردم تا اگر باگ امنیتی دیدم بهتون خبر بدم.
    اولین چیزی که توجه من رو جلب کرد حمله از طریق RFI بود.
    به عنوان مثال شما آدرس route=../../tk-panel/controler/setting_system رو وارد کنید، میبینید که به فایل ها فولدر tk-panel میتونید دسترسی پیدا کنید.
    مورد دوم که توجه من رو جلب کرد این بود که هنگام اپلود فایل تنها پسوند فایل رو بررسی میکردید. میشه خیلی راحت در فایل پی اچ پی رو پسوندش رو به zip تغییر داد و به سایت شما ارسال کرد.
    مورد سوم که خدمتتون میگم امنیتی نیست. یک پیشنهاد هست. به نظرم حتما یک فایل نصب درست کنید. چون این مدلی خیلی از کاربرها نمیتونند استفاده کنند. از نظر ادرس دهی هم روی ساب فولدر مشکل وجود داشت.
    سلام
    تشکر بابت نظرتون
    مورد اول
    1- به هیچ عنوان نمیشه بصورت مستقیم به این فایل ها دسترسی پیدا کرد از طریق فایل .htaccess بسته شده
    نمونه:
    osclass.takfadesign.ir/tk-panel/controler/setting_system
    و اینکه route گذاشتید
    باز هم نمیشه دسترسی پیدا کرد چرا که ابتدار در فایل app.php چک میشه مدیر وارد شده یا خیر
    ضمنا پسوند رو حذف میکنه دباره مجدد پسوند .php رو اضافه میشه
    مورد بعدی فقط میشه فایل های درون کنترلر رو بررسی کرد که اون هم مسیر از طریق روت داده میشه
    یعنی اگر بخایم واضح تر بگیم
    فایل app.php ادرس کنترلر داده شده فقط با دادن آ درس فایل setting_system میاد بررسی میکنه اگر موجود بود دسترسی میده(در صورت لاگین) اگر نبود میفرسته به صفحه main.php
    اون هم قبلش دسترسی رو چک میکنه میبینه مدیر هست یا یک اپراتور

    2- مورد 2 رو قبول دارم،ولی فکر نکنم بتونن به اینصورت سیستم رو هک کنند چرا که مسیر به هیچ عنوان مشخص نیست نحوه دانلود هم بصورت لینک غیر مستقیمه بصورت مستقیم نمیشه به فایل دسترسی پیدا کرد،نام فایل هم هنگام بارگذاری تغییر میکنه،از طرفی فرمت اصلی zip هست...
    3- اتفاقا میخواستم همینکار رو بکنم ولی دیگه انقدر دوستان عجله کردند نشد،ولی نصبش هم اسونه فقط کافیه اطلاعات هاست رو وارد کنند که فکر کنم دیگه هر وبمستری این رو بلده

    تشکر بابت نظرات خوبتون دوست عزیز
    ویرایش توسط Ami-Karimi : 2017-01-04 در ساعت 18:11

  11. کاربر زیر به خاطر این پست از Ami-Karimi تشکر کرده است :


  12. #8
    کاربر فعال انجمن شاپ کیپر bestirani2 آواتار ها
    تاریخ عضویت
    Aug 2011
    نوشته ها
    879
    تشکر
    321
    909 بار تشکر شده در 520 پست
    نقل قول نوشته اصلی توسط Ami-Karimi نمایش پست ها
    سلام
    تشکر بابت نظرتون
    مورد اول
    1- به هیچ عنوان نمیشه بصورت مستقیم به این فایل ها دسترسی پیدا کرد از طریق فایل .htaccess بسته شده
    نمونه:
    osclass.takfadesign.ir/tk-panel/controler/setting_system
    و اینکه route گذاشتید
    باز هم نمیشه دسترسی پیدا کرد چرا که ابتدار در فایل app.php چک میشه مدیر وارد شده یا خیر
    ضمنا پسوند رو حذف میکنه دباره مجدد پسوند .php رو اضافه میشه
    مورد بعدی فقط میشه فایل های درون کنترلر رو بررسی کرد که اون هم مسیر از طریق روت داده میشه
    یعنی اگر بخایم واضح تر بگیم
    فایل app.php ادرس کنترلر داده شده فقط با دادن آ درس فایل setting_system میاد بررسی میکنه اگر موجود بود دسترسی میده(در صورت لاگین) اگر نبود میفرسته به صفحه main.php
    اون هم قبلش دسترسی رو چک میکنه میبینه مدیر هست یا یک اپراتور

    2- مورد 2 رو قبول دارم،ولی فکر نکنم بتونن به اینصورت سیستم رو هک کنند چرا که مسیر به هیچ عنوان مشخص نیست نحوه دانلود هم بصورت لینک غیر مستقیمه بصورت مستقیم نمیشه به فایل دسترسی پیدا کرد،نام فایل هم هنگام بارگذاری تغییر میکنه،از طرفی فرمت اصلی zip هست...
    3- اتفاقا میخواستم همینکار رو بکنم ولی دیگه انقدر دوستان عجله کردند نشد،ولی نصبش هم اسونه فقط کافیه اطلاعات هاست رو وارد کنند که فکر کنم دیگه هر وبمستری این رو بلده

    تشکر بابت نظرات خوبتون دوست عزیز
    سلام
    بنده چک کردم که بهتون گفتم
    مورد اول:
    http://osclass.takfadesign.ir/?route...er/manage_user
    این ادرس رو الان چک کنید
    به دلیل اینکه ClASS_DIR مربوط به پوشه tk-panel متفاوت هست نمیتونه به paginator.class.php دسترسی پیدا کنه و اررور میده.
    دوست داشته باشید میتونم یک سناریو هک رو تا اخر برم و هدف اصلی من این هست که میشه به یک فایل دسترسی پیدا کرد که این یعنی باگ امنیتی.
    راه حل چیه؟ شما میتونید دو تا کار کنید یا با regex چک کنید که rout ای که وارد شده شامل فقط حروف باشه که نشه تعیین بررسی کرد یا اینکه لیست کنترل هاتون رو بگیرید و چک کنید روت برابر با یکی از این لیست باشه.

    مورد دوم: توجه کنید که این یک سیستم اپن سوررس هست. راحت میشه مسیر رو پیدا کرد. من روی دانلود هر چی کلیک کردم عمل نکرد ببینم چه ادرسی هست ولی با inspect اسم فایل معلوم بود. با دانلود سورس برنامه هم فولدر فایل ها معلوم میشه پس در نتیجه میشه راحت دسترسی گرفت.
    راحل چیه؟ شما علاوه بر پسوند فایل، Mine type فایل را هم بررسی کنید تا امکان بارگذاری فایل پی اچ پی نباشه. برای اطمینان بیشتر هم با httaccess میتونید امکان اجرای فایل پی اچ پی در فولدر آپلود رو بگیرید.

    این نکته را هم در نظر داشته باشید که سیستم شما اپن سورس هست و با نگاه کردن راحت میشه راه نفوذ پیدا کرد. بنده در حد پنج دقیقه نگاه کردم. کسی که بخواد هک کنه بررسی دقیق و کاملی داره، از همین رو حتما باید هر موردی که به ذهنتون میرسه رو اعمال کنید و به این نکته که مخفی هست و نمیبیه و ... اکتفا نکنید.

    موفق باشید دوست عزیز.

  13. کاربران زیر به خاطر این پست از bestirani2 تشکر کرده اند :


  14. #9
    Ami-Karimi آواتار ها
    تاریخ عضویت
    Jan 2016
    نوشته ها
    369
    تشکر
    136
    323 بار تشکر شده در 170 پست
    نقل قول نوشته اصلی توسط bestirani2 نمایش پست ها
    سلام
    بنده چک کردم که بهتون گفتم
    مورد اول:
    http://osclass.takfadesign.ir/?route...er/manage_user
    این ادرس رو الان چک کنید
    به دلیل اینکه ClASS_DIR مربوط به پوشه tk-panel متفاوت هست نمیتونه به paginator.class.php دسترسی پیدا کنه و اررور میده.
    دوست داشته باشید میتونم یک سناریو هک رو تا اخر برم و هدف اصلی من این هست که میشه به یک فایل دسترسی پیدا کرد که این یعنی باگ امنیتی.
    راه حل چیه؟ شما میتونید دو تا کار کنید یا با regex چک کنید که rout ای که وارد شده شامل فقط حروف باشه که نشه تعیین بررسی کرد یا اینکه لیست کنترل هاتون رو بگیرید و چک کنید روت برابر با یکی از این لیست باشه.

    مورد دوم: توجه کنید که این یک سیستم اپن سوررس هست. راحت میشه مسیر رو پیدا کرد. من روی دانلود هر چی کلیک کردم عمل نکرد ببینم چه ادرسی هست ولی با inspect اسم فایل معلوم بود. با دانلود سورس برنامه هم فولدر فایل ها معلوم میشه پس در نتیجه میشه راحت دسترسی گرفت.
    راحل چیه؟ شما علاوه بر پسوند فایل، Mine type فایل را هم بررسی کنید تا امکان بارگذاری فایل پی اچ پی نباشه. برای اطمینان بیشتر هم با httaccess میتونید امکان اجرای فایل پی اچ پی در فولدر آپلود رو بگیرید.

    این نکته را هم در نظر داشته باشید که سیستم شما اپن سورس هست و با نگاه کردن راحت میشه راه نفوذ پیدا کرد. بنده در حد پنج دقیقه نگاه کردم. کسی که بخواد هک کنه بررسی دقیق و کاملی داره، از همین رو حتما باید هر موردی که به ذهنتون میرسه رو اعمال کنید و به این نکته که مخفی هست و نمیبیه و ... اکتفا نکنید.

    موفق باشید دوست عزیز.
    سلام مجدد
    تشکر،بله درسته فایل رو نمایش داد ، بهترین راه هم همین چک کردن با regex است که فقط string باشه ،
    مورد دوم : بله چون فایل خونده میشه و تنها فایل های zip رو میشه دانلود کرد،
    برای آپلود هم اکثرا از Class استفاده میکنم که امنیتش بیشتره و کامل تره ،حالا این چون پروژه کوچیکی بود برای همین از این کد پایه استفاده کردم....
    انشالله در آپدیت بعدی که هم کامل تر هست هم امنیتی تر این نقاط ضعف برطرف میشه
    مجدد تشکر،همچنین،موفق باشید.

  15. کاربر زیر به خاطر این پست از Ami-Karimi تشکر کرده است :


  16. #10
    کاربر فعال انجمن شاپ کیپر bestirani2 آواتار ها
    تاریخ عضویت
    Aug 2011
    نوشته ها
    879
    تشکر
    321
    909 بار تشکر شده در 520 پست
    نقل قول نوشته اصلی توسط Ami-Karimi نمایش پست ها
    سلام مجدد
    تشکر،بله درسته فایل رو نمایش داد ، بهترین راه هم همین چک کردن با regex است که فقط string باشه ،
    مورد دوم : بله چون فایل خونده میشه و تنها فایل های zip رو میشه دانلود کرد،
    برای آپلود هم اکثرا از Class استفاده میکنم که امنیتش بیشتره و کامل تره ،حالا این چون پروژه کوچیکی بود برای همین از این کد پایه استفاده کردم....
    انشالله در آپدیت بعدی که هم کامل تر هست هم امنیتی تر این نقاط ضعف برطرف میشه
    مجدد تشکر،همچنین،موفق باشید.
    باید چک کنید تنها شما حروف و _ باشد بدین صورت /^[a-zA-Z_]*$/
    استرینگ اگر چک شود .. و / هم استرینگ حساب میشند.

صفحه 1 از 3 123 آخرینآخرین

موضوعات مشابه

  1. بهترین اسکریپت رایگان تیکتینگ
    توسط zozze در انجمن اسکریپت های مدیریت سایت و وبلاگ
    پاسخ ها: 0
    آخرين نوشته: 2016-05-22, 01:58
  2. معرفی اسکریپت تیکتینگ ..
    توسط moj1rayaname در انجمن اشتراک گذاری
    پاسخ ها: 3
    آخرين نوشته: 2015-12-16, 08:31
  3. بهترین اسکریپت ایمیل مارکتینگ با امکانات فوق العاده
    توسط hanmudokar در انجمن تبلیغات اینترنتی و بازاریابی آنلاین
    پاسخ ها: 45
    آخرين نوشته: 2012-05-06, 21:08

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید
  • شما نمیتوانید پست های خود را ویرایش کنید
  •