בדיקות חדירות ואבטחה לאוצריא
-
@dovid @אף-אחד-3 @מאיר-פוזן
אתגר: נסו להכנס לגשת לרשימת המשתמשים של אוצריא.
לא הפורום, אתר עריכת הספרים, חיפוש פשוט בגוגל "אוצריא", או otzaria.org.
רק להדגיש: מי שעשה לנו את זה (את הרוב, עכ"פ, זה מישהו שיודע מה הוא עושה, אבל בונה בעיקר עם AI.
אבל הרבה נוצר גם ע"י מישהו שלא מבין.
עוד הדגשה חשובה: אני לא עשיתי שם כמעט כלום, לא יפגע בי אם תגלו שהוא מלא בחורים... רק יעזור לי! -
@dovid @אף-אחד-3 @מאיר-פוזן
אתגר: נסו להכנס לגשת לרשימת המשתמשים של אוצריא.
לא הפורום, אתר עריכת הספרים, חיפוש פשוט בגוגל "אוצריא", או otzaria.org.
רק להדגיש: מי שעשה לנו את זה (את הרוב, עכ"פ, זה מישהו שיודע מה הוא עושה, אבל בונה בעיקר עם AI.
אבל הרבה נוצר גם ע"י מישהו שלא מבין.
עוד הדגשה חשובה: אני לא עשיתי שם כמעט כלום, לא יפגע בי אם תגלו שהוא מלא בחורים... רק יעזור לי! -
@אף-אחד-3 זה בטח מה שנגיש גם בתצוגה כמו שגם פה יש דף משתמשים עם רשימה, לא?
אולי היית מצפה שלא יראו את הid הפנימי אבל זה לגיטימי כן לחשוף ללקוח, כי זה מערפל מעט ומפריע הרבה, אין בעיה אבטחתית כשלעצמה בעצם ההסתרה הזו.- מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
- בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
@אף-אחד-3 זה בטח מה שנגיש גם בתצוגה כמו שגם פה יש דף משתמשים עם רשימה, לא?
אולי היית מצפה שלא יראו את הid הפנימי אבל זה לגיטימי כן לחשוף ללקוח, כי זה מערפל מעט ומפריע הרבה, אין בעיה אבטחתית כשלעצמה בעצם ההסתרה הזו. -
יש מושג פרופיל ציבורי שזמין לכל משתמשי האפליקציה בדר"כ אמור לדרוש auth
אבל פרופיל מלא של משתמש, מידע אישי, פרטים אישיים, זה לא לגיטימי בעליל.זה ממש נהיה מעין תאווה לחקור מערכות שנבנו באמצעות AI למצוא בהם נקודות תורפה והכל - בשביל להצדיק את היותנו מתכנתים מומחים...
-
@י.פל. אני חושש שאנחנו גולשים מידי מהנושא
בכל אופן גם אצלך לפחות רשימת המשתמשים (זה מה שבדקתי) חשופה לחלוטין
מצאתי 824 משתמשים
הנה לדוגמה הרשומה שלי
@אף-אחד-3 כתב באתר לחיפוש חברותא:
בכל אופן גם אצלך לפחות רשימת המשתמשים (זה מה שבדקתי) חשופה לחלוטין
כבר כתבו לי במייל, אך כפי שכתב @dovid , לכל משתמש יש את זה, לא רואה סיבה למנוע מאורחים.
@katz כתב באתר לחיפוש חברותא:
זה ממש נהיה מעין תאווה לחקור מערכות שנבנו באמצעות AI למצוא בהם נקודות תורפה והכל - בשביל להצדיק את היותנו מתכנתים מומחים...
אני ממש ממש אשמח ( @dovid לפתוח שרשור?), גם הקוד עצמו זמין בגיטהאב, אבל אני לא יודע אם הגיוני לתת את הקוד ולחפש פרצות...
-
@אף-אחד-3 כתב באתר לחיפוש חברותא:
בכל אופן גם אצלך לפחות רשימת המשתמשים (זה מה שבדקתי) חשופה לחלוטין
כבר כתבו לי במייל, אך כפי שכתב @dovid , לכל משתמש יש את זה, לא רואה סיבה למנוע מאורחים.
@katz כתב באתר לחיפוש חברותא:
זה ממש נהיה מעין תאווה לחקור מערכות שנבנו באמצעות AI למצוא בהם נקודות תורפה והכל - בשביל להצדיק את היותנו מתכנתים מומחים...
אני ממש ממש אשמח ( @dovid לפתוח שרשור?), גם הקוד עצמו זמין בגיטהאב, אבל אני לא יודע אם הגיוני לתת את הקוד ולחפש פרצות...
@י.פל. כתב באתר לחיפוש חברותא:
אני ממש ממש אשמח ( @dovid לפתוח שרשור?), גם הקוד עצמו זמין בגיטהאב, אבל אני לא יודע אם הגיוני לתת את הקוד ולחפש פרצות...
כל עוד שהתוכנה לא נמכרת בתשלום
מה הצד הכי קטן לא לשחרר את הקוד לכל מי שיכו לעבור עליו
ולתת לאנשים לשפר אותו?
לאנשים מכל העולם -
@י.פל. כתב באתר לחיפוש חברותא:
אני ממש ממש אשמח ( @dovid לפתוח שרשור?), גם הקוד עצמו זמין בגיטהאב, אבל אני לא יודע אם הגיוני לתת את הקוד ולחפש פרצות...
כל עוד שהתוכנה לא נמכרת בתשלום
מה הצד הכי קטן לא לשחרר את הקוד לכל מי שיכו לעבור עליו
ולתת לאנשים לשפר אותו?
לאנשים מכל העולם@A0533057932 כתב באתר לחיפוש חברותא:
מה הצד הכי קטן לא לשחרר את הקוד לכל מי שיכו לעבור עליו
הקוד זמין, הסתפקתי אם להעלות כאן...
הנה:
https://github.com/Otzaria/Otzaria_Website -
@A0533057932 כתב באתר לחיפוש חברותא:
מה הצד הכי קטן לא לשחרר את הקוד לכל מי שיכו לעבור עליו
הקוד זמין, הסתפקתי אם להעלות כאן...
הנה:
https://github.com/Otzaria/Otzaria_Website -
-
@אף-אחד-3 כתב באתר לחיפוש חברותא:
@י.פל. בטעות פרצתי לחשבון של @פלמנמוני (חשבון מנהל) עימו הסליחה
מה זה ?
כמו הסיפור על גנב שטען שבטעות הוא שדד בנק
הוא סך הכל הגיע לפתוח חשבון@אביחיל
לא תכננתי שהחשבון הראשון בטבלה יהיה חשבון פעיל
חשבתי שזה יהיה חשבון בדיקות כזה שפגיעה בו לא תשפיע על הפעילות השוטפת
בפועל גיליתי חשבון שיש לו הרבה שימוש
בתכלס לקחתי קצת רחוק את ההצעה לגשת לרשימת המשתמשים...שחזור מידע מקצועי במחירים נגישים עם אחריות ושירות מלא anytechfix@gmail.com
-
@אביחיל
לא תכננתי שהחשבון הראשון בטבלה יהיה חשבון פעיל
חשבתי שזה יהיה חשבון בדיקות כזה שפגיעה בו לא תשפיע על הפעילות השוטפת
בפועל גיליתי חשבון שיש לו הרבה שימוש
בתכלס לקחתי קצת רחוק את ההצעה לגשת לרשימת המשתמשים... -
מוזמנים לבדוק את האתר עכשיו
אין בכוונתי להכפיש ח"ו אבל תראו מה יוצא כשמסתמכים על הבינה יותר מידי (ומאתגרים אותי... - קיבלתי רשות מלאה לנסות את זה)
https://otzaria.org/
-
זה לא היה כזה קל, וזו לא היתה פירצה שנבעה מחוסר אבטחה טוטאלי, ס"ה באחד מתוך כל הנתיבים שמאפשרים העלאת קבצים היה חסר שני שורות קוד (בכל הנתיבים זה כן היה חסום).
גם הפירצה הקודמת שמצאת קשה לקרוא לה חוסר אבטחה טוטאלי, כמו נניח אם הנתיבי API היו פתוחים לכל דורש.
כלומר גם מתכנת מקצועי היה עלול לפספס את שני החורים האלו, בשביל זה יש מקצוע מיוחד שנקרא חוקר אבטחה.
-
זה לא היה כזה קל, וזו לא היתה פירצה שנבעה מחוסר אבטחה טוטאלי, ס"ה באחד מתוך כל הנתיבים שמאפשרים העלאת קבצים היה חסר שני שורות קוד (בכל הנתיבים זה כן היה חסום).
גם הפירצה הקודמת שמצאת קשה לקרוא לה חוסר אבטחה טוטאלי, כמו נניח אם הנתיבי API היו פתוחים לכל דורש.
כלומר גם מתכנת מקצועי היה עלול לפספס את שני החורים האלו, בשביל זה יש מקצוע מיוחד שנקרא חוקר אבטחה.
@ע-ה-דכו-ע מחילה אבל לדעתי אתה קצת חושב כמו מתכנת vibe שאחר כך עובר על הקוד ומתקן אותו
מתכנת טוב שיכתוב את הקוד הזה מלכתחילה לא יכתוב פונקציה שניגשת למידע רגיש ולא בודקת הרשאות או פונקציה שלא מוודאת טיפוסים ואם זה קרה זאת אשמה אישית שלו
דעתי בכל אופן
ואגב יש לך בעיה ב regex של שינוי המייל - אי אפשר לשנות למייל שיש בו את האות s (באת לסנן רווחים כנראה)
(במקרה עליתי על זה כי רציתי לשנות לכתובת שתוביל לתווית במייל שלי ויש לי s בכתובת) -
זה לא היה כזה קל, וזו לא היתה פירצה שנבעה מחוסר אבטחה טוטאלי, ס"ה באחד מתוך כל הנתיבים שמאפשרים העלאת קבצים היה חסר שני שורות קוד (בכל הנתיבים זה כן היה חסום).
גם הפירצה הקודמת שמצאת קשה לקרוא לה חוסר אבטחה טוטאלי, כמו נניח אם הנתיבי API היו פתוחים לכל דורש.
כלומר גם מתכנת מקצועי היה עלול לפספס את שני החורים האלו, בשביל זה יש מקצוע מיוחד שנקרא חוקר אבטחה.
@ע-ה-דכו-ע לא לוקחים חוקר אבטחה על דברים כאלה, זה בסיסי מספיק כדי שהמתכנת יוכל לדאוג לזה.
והאמת שגם הייתי מצפה מבינה מלאכותית לא לפספס כזה דבר, אבל זה תלוי במודל. -
@אף-אחד-3 לא מסכים איתך, מתכנת (בודד, או ללא Review) טרום הבינה מלאכותית משאיר חורים גדולים יותר.
הבעיה היא פה לא הvibe אלא כנראה דוקא כתיבה ידנית או שימוש חפוז בAI.- מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
- בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
-
פרויקט שנבנה בטלאים על טלאים, עם חלק אנשים שיודעים מה הם עושים, וחלק לא, יכול להיות שלא היה מספיק חשיבה על זה, או שלא היה כח / רצון לחשוב מחדש על הכל ביחד כשלא ברור עד הסוף מה באמת יש ומה אין.
יכול להיות כיום שאם יתנו למודלים מסויימים כיום את הקוד מקור, ויגידו להם לעשות סקירת אבטחה טובה הם יכולו למצוא שם כמה דברים שחשוב לתקן
-
פרויקט שנבנה בטלאים על טלאים, עם חלק אנשים שיודעים מה הם עושים, וחלק לא, יכול להיות שלא היה מספיק חשיבה על זה, או שלא היה כח / רצון לחשוב מחדש על הכל ביחד כשלא ברור עד הסוף מה באמת יש ומה אין.
יכול להיות כיום שאם יתנו למודלים מסויימים כיום את הקוד מקור, ויגידו להם לעשות סקירת אבטחה טובה הם יכולו למצוא שם כמה דברים שחשוב לתקן
@צבי-ש כתב בבדיקות חדירות ואבטחה לאוצריא:
פרויקט שנבנה בטלאים על טלאים, עם חלק אנשים שיודעים מה הם עושים, וחלק לא, יכול להיות שלא היה מספיק חשיבה על זה, או שלא היה כח / רצון לחשוב מחדש על הכל ביחד כשלא ברור עד הסוף מה באמת יש ומה אין.
הגדרת כעת את רוב המוצרים המסחריים (!) בשוק, הישראלי בוודאי.
@צבי-ש כתב בבדיקות חדירות ואבטחה לאוצריא:
יכול להיות כיום שאם יתנו למודלים מסויימים כיום את הקוד מקור, ויגידו להם לעשות סקירת אבטחה טובה הם יכולו למצוא שם כמה דברים שחשוב לתקן
כל מודל ימצא את הבעיות שמצאו פה, אבל צריך כח לדבר איתו ולהבדיל בין בעיות של ממש לפחות וגם כח לתקן לבד ולא ללכת כסומא אחריו עד שהוא דופק את כל הפרוייקט.
- מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
- בכל נושא אפשר ליצור קשר dovid@tchumim.com
