בדיקות חדירות ואבטחה לאוצריא

צבי-ש

@dovid כתב בבדיקות חדירות ואבטחה לאוצריא:

הגדרת כעת את רוב המוצרים המסחריים (!) בשוק, הישראלי בוודאי.

הם לא מוצרים שאספו מתכנתים ככה

@י.פל. כתב בדרוש לאוצריא: מתכנת אתרים אמיץ...:

אחד מחברי פרוייקט אוצריא, בנה אתר שיתופי לעריכת קבצים להכנסתם למאגר.
הבנייה הייתה במספר שלבים, מעבר מ..?? למונגו DB, ועוד שינויים רבים.
כרגע: השרת בvercel, הקוד בגיטהאב [פריסה אוטומטית בכל commit], ואולי עוד...
אין לי יכולת [מבחינת זמן, וגם כח] לבדוק מה הולך שם, אך כרגע אנחנו תקועים לאחר שהלה פרש, לפני שהספיק לסדר את הבלגן האיום והנורא שהוא עשה.

אנו חוששים שאם העסק יתקע, ולא יהיה ניתן לערוך ספרים, לא נצליח בהמשך להרים אותו.

אם יש לך מספיק אומץ כדי להכנס ליער של קוד זבל, קבצי md עם הוראות והסברים מזמנים שונים, ועוד ועוד, אשמח אם תפנה למייל שבפרופיל שלי, ותסייע לנו - ולכל עורכי הספרים!

חשוב לציין: הקוד נכתב ע"י AI, ברובו אם לא בכולו. אין לי מושג לגבי מידת הידע של הנ"ל.

dovid

@צבי-ש כתב בבדיקות חדירות ואבטחה לאוצריא:

הם לא מוצרים שאספו מתכנתים ככה

במסחרי זה אכן הולך אחרת.
קיבלו מתכנתים לעבודה, פיטרו, לקחו אחרים, התפטרו, לקחו אחרים וכולי.
בתכלס, זה בדיוק אותו דבר, עם מעלה לאוצריא שיש שמה הרבה הרבה יותר אכפתיות, אולי טיפה פחות פרוייקטורים ומנהלים שממוקדים, פחות פגישות עם כיבוד משמין, ואולי פחות שעות עבודה, כבר לא זוכר מה מעלה ומה חיסרון :).

פלמנמוני

@אף-אחד-3 יאלה, לפירצה הבאה
אני עדיין מחכה למייל כופר ממערכת אוצריא עצמה

dovid

@פלמנמוני התכוונת לתייג כנראה את @אף-אחד-3

מד

@dovid אולי הזמן לפתוח פה קטגוריה מיוחדת לבקשות כאלו... זה יהיה הקטגרויה הכי חם פה.
כלומר זה המקצוע היחיד שהולך לישאר לבני בשר ודם (וג"כ לא להרבה זמן..)

ע"ה דכו"ע

@מד כתב בבדיקות חדירות ואבטחה לאוצריא:

כלומר זה המקצוע היחיד שהולך לישאר לבני בשר ודם (וג"כ לא להרבה זמן..)

AI יודע בהחלט לבצע גם את זה (כמובן לא כמו בן אדם, כמו כל הדברים), רק שהוא לא תמיד עושה זאת בברירת מחדל.

dovid

@ע-ה-דכו-ע כתב בבדיקות חדירות ואבטחה לאוצריא:

AI יודע בהחלט לבצע גם את זה (כמובן לא כמו בן אדם, כמו כל הדברים)

ב95% הרבה יותר טוב מבני אדם.
אלא שנכון להיום הוא צריך נהג טוב, כשהמשתמש יותר מידי בור הוא מגביל אותו או בכלל לא מגביל אותו ואז התוצאות לא רצויות.

י.פל.

@צבי-ש כתב בבדיקות חדירות ואבטחה לאוצריא:

הם לא מוצרים שאספו מתכנתים ככה

סליחה: אתה מסלף!
האתר הישן היה זבל: זו הסיבה שאפילו לא יסיתי לתקן אותו, אלא @ע-ה-דכו-ע כתב הכל מחדש, ו @פלמנמוני הוסיף המון המון פיצ'רים.
אין שום קשר בין מה שהיה אז - למה שהיה כיום.
אפילו הפריצה של התמונה ( @אף-אחד-3 אתה מוכשר!) זה היה נתיב העלאות שנפתח לצורך בדיקה ח"פ, ושכחו לסגור אותו... זה לא היה נתיב שלא אבטחו: זה היה נתיב שלא מחקו!

לסיכום: בנתיים 2 פרצות נמצאו (השתלטות על חשבון מנהל + העלאת תמונה), אני - כאחד שאינו מתכנת - מאוד מסופק מה ה אומר על האתגר שפתחתי, מה זה אומר על תכנות עם AI, ואם ניתן להביא מזה ראיה.
מה דעתך, @dovid ?

צבי-ש

@י.פל. כתב בבדיקות חדירות ואבטחה לאוצריא:

סליחה: אתה מסלף!

אתה כתבת את זה לפני יומיים

@י.פל. כתב בבדיקות חדירות ואבטחה לאוצריא:

רק להדגיש: מי שעשה לנו את זה (את הרוב, עכ"פ, זה מישהו שיודע מה הוא עושה, אבל בונה בעיקר עם AI.
אבל הרבה נוצר גם ע"י מישהו שלא מבין.

מה שהזכיר לי את הפוסט שכתבת אז לחיפוש מתנדבים.

אני לא מכיר את אוצריה ואת האתר מפנים ומי כתב שם איזה חלק בקוד, אני ציטטתי אותך בחיפוש מתנדב, ובפוסט מלפני יומיים.

וכמובן סליחה אם מישהו נפגע מדבריי כאילו האתר בנוי כושל או משהו כזה, עדיין לא השתמשתי בו או ראיתי את הקוד שלו כדי לדעת דבר כזה

לגופו של עניין אם לקחו שליטה כמו שאתה כותב על חשבון מנהל, ואם אני מצרף את מה שאף-אחד-3 כתב, שהוא פשוט ניסה את id מספר 1 אז לכאורה אפשר להיכנס לכל החשבונות גם, ולא רק על חשבון ספציפי

לגבי האתגר שפתחת, אהבתי מאוד, אשמח אם יהיה פה קטגוריה לדברים כאלה, מאמין שאעבור שם על הפוסטים באדיקות, ואולי גם אוסיף כמה כאלה.

עריכה:

אגב,
לגבי מה שכתבת

זה לא היה נתיב שלא אבטחו: זה היה נתיב שלא מחקו!

אני חושב שזה גם גרוע, כי נתיב שימושי עוברים עליו, וסורקים אותו מפעם לפעם כשצריך לשנות משהו, ונתיב ששכחו מיותר ומיותם ייסרק פחות מטבע הדברים

ע"ה דכו"ע

@צבי-ש האתר אכן נכתב ע"י אחד שמשתמש המון בAI, ורק עובר על זה קצת (לא תמיד)... זה היה אני במקרה (בעיקר הבסיס, כל ההמשך כבר היה @פלמנמוני בעיקר).

הכוונה שזה לא סתם מקבץ אנשים שכל אחד מנסה את כוחו עד שהוא מחליט שזה לא בשבילו, אלא שני אנשים פחות או יותר, שעושים את זה, והעמידו אתר נחמד מאוד בסופו של דבר.

@צבי-ש כתב בבדיקות חדירות ואבטחה לאוצריא:

לגופו של עניין אם לקחו שליטה כמו שאתה כותב על חשבון מנהל, ואם אני מצרף את מה שאף-אחד-3 כתב, שהוא פשוט ניסה את id מספר 1 אז לכאורה אפשר להיכנס לכל החשבונות גם, ולא רק על חשבון ספציפי

זה לא שהוא ניסה את ID מספר אחד, אלא את הID שהגיע הראשון ברשימת המשתמשים (כנראה היה ממוין לפי נקודות או משהו).
זה נכון שהוא היה יכול לבחור כל אחד מהמשתמשים, אבל מה זה מוסיף יותר מאשר חשבון מנהל?

אגב הוא השתמש בהזרקת שאילתת NoSql במקום טוקן לאיפוס סיסמה, והיה חסר בדיקת טיפוס שיהיה דווקא סטרינג (אם זה מענין).

אף אחד 3

@ע-ה-דכו-ע ליתר דיוק היה אפשר להיכנס לכל חשבון שאני יודע את כתובת המייל שלו ויכול להגיש בקשה לאיפוס סיסמה בשמו

ע"ה דכו"ע

@אף-אחד-3 כתב בבדיקות חדירות ואבטחה לאוצריא:

@ע-ה-דכו-ע ליתר דיוק היה אפשר להיכנס לכל חשבון שאני יודע את כתובת המייל שלו ויכול להגיש בקשה לאיפוס סיסמה בשמו

נכון, ואת כתובת המייל יכלת לקבל בקלות מהמון מקומות, בין השאר גם באתר.

אגב אפשר עם ההזרקה הזו של השאילתה לקבל עוד הרבה פרטים, וגם לשנות אולי, אני טועה?

אף אחד 3

@ע-ה-דכו-ע לא
עם ה path traversal אפשר
ה SQL injection היה רק בשאילתה של האיפוס סיסמה