תחומים - פורום חרדי מקצועי

@ע-ה-דכו-ע לא
עם ה path traversal אפשר
ה SQL injection היה רק בשאילתה של האיפוס סיסמה

@ע-ה-דכו-ע ליתר דיוק היה אפשר להיכנס לכל חשבון שאני יודע את כתובת המייל שלו ויכול להגיש בקשה לאיפוס סיסמה בשמו

@מד הערוץ של דניאל טרבלסי

@shraga כתב בחשיפת מסדי נתונים באתרים שנבנו עם vibe coding:

באופן כללי הרשאה של משתמש מחובר עלולה לאפשר גישה למגוון טבלאות שלא חשופות למי שאינו מחובר.

ולכן יותר חכם לשלב בין המצבים עם הודעה על היתרון שבחיבור

@ע-ה-דכו-ע מחילה אבל לדעתי אתה קצת חושב כמו מתכנת vibe שאחר כך עובר על הקוד ומתקן אותו
מתכנת טוב שיכתוב את הקוד הזה מלכתחילה לא יכתוב פונקציה שניגשת למידע רגיש ולא בודקת הרשאות או פונקציה שלא מוודאת טיפוסים ואם זה קרה זאת אשמה אישית שלו
דעתי בכל אופן
ואגב יש לך בעיה ב regex של שינוי המייל - אי אפשר לשנות למייל שיש בו את האות s (באת לסנן רווחים כנראה)
(במקרה עליתי על זה כי רציתי לשנות לכתובת שתוביל לתווית במייל שלי ויש לי s בכתובת)

@shraga למה צריך להיות עם חשבון מחובר כדי שזה ינסה? פגשתי כמה וכמה אתרים שבהם המסד היה חשוף גם בלי להיות מחובר (אם כי אולי ספציפית ב base44 זה לא אפשרי)

מוזמנים לבדוק את האתר עכשיו
אין בכוונתי להכפיש ח"ו אבל תראו מה יוצא כשמסתמכים על הבינה יותר מידי (ומאתגרים אותי... - קיבלתי רשות מלאה לנסות את זה)
https://otzaria.org/

@אביחיל
לא תכננתי שהחשבון הראשון בטבלה יהיה חשבון פעיל
חשבתי שזה יהיה חשבון בדיקות כזה שפגיעה בו לא תשפיע על הפעילות השוטפת
בפועל גיליתי חשבון שיש לו הרבה שימוש
בתכלס לקחתי קצת רחוק את ההצעה לגשת לרשימת המשתמשים...

@י.פל. בטעות פרצתי לחשבון של @פלמנמוני (חשבון מנהל) עימו הסליחה
שלחתי אליו מייל עם הסיסמה החדשה
אגב בעמוד ספרי דיקטה חוזר גם המיילים של מי שתפס את הספר (אבל לא מוצג בממשק)
מוזמן לפנות אלי ל egozkokus1 בג'ימייל ואסייע בסגירת הפרצות

@שוהם307 אולי פתחת את האזור האישי ואת פרטי הפניה באתר כדי לברר נתונים לפני שאתה שואל את ג'מיני?
אולי זה מה שמקפיץ אצלם התראה
בכל אופן היית צריך לפרסם את זה בתור עצה נפלאה ולא סיבה לפרנויה

@dovid לא מכיר את האתר פשוט חיפשתי את בקוד את נקודת הגישה של רשימת המשתמשים (זה מה שהוא כתב בהודעה שלו...)
עכשיו באמת אני רואה שיש עמוד לזה באתר

@י.פל. אני חושש שאנחנו גולשים מידי מהנושא
בכל אופן גם אצלך לפחות רשימת המשתמשים (זה מה שבדקתי) חשופה לחלוטין
מצאתי 824 משתמשים
הנה לדוגמה הרשומה שלי

@dovid כתב באתר לחיפוש חברותא:

כנראה שיש מלא מלא אתרים כאלה בזכות הAI.

המון
פיתחתי לי תחביב וכל אתר כזה שאני רואה אני בודק אותו ואולי אחד מתוך בערך 15 שבדקתי היה מאובטח ברמה שלא הצלחתי לחדור אליו

@katz הערתי לו על זה כבר בבוקר והוא אמר לי שהוא מטפל...
אין לו הקשחות RLS בכלל למרות שהוא על supabase וזה אמור להיות ממש קל
בכל אופן לא חושב שנכון לשתף פה את הצילומים האלה

@Mordechay כתב בדרוש מומחה לחסימת אנדרואיד:

ממש לא, אני רק באתי להגיד שאין דבר כזה עקף חסימה עם "ai"... יש חסימה לא שווה שבן אדם הצליח לעקוף (לא מבין מה הקשר ל ai מה הוא הדריך אותו תלחץ פה ואז תלח פה ואז עקפת את החסימה???)

ואם הוא היה עוקף את זה עם החבר שלו דני? גם אז לא הייתי יכול להגיד עקף את זה עם דני?
הוא התייעץ עם ה AI למד איתו את המערכת ואיך היא עובדת חשבו ביחד על רעיון ועקפו
כל כך פשוט
ואת הסינון ההוא לא עשה סיני
בכל אופן גלשנו רק באתי להדגיש לאלו שמתעסקים בזה שלדעתי צורת הגישה לפרוייקט צריכה להיות שונה

@Mordechay כתב בדרוש מומחה לחסימת אנדרואיד:

@אף-אחד-3 כתב בדרוש מומחה לחסימת אנדרואיד:

בכל אופן דיברתי על לפחות מקרה אחד של בחור שעקף nox עם AI

הוא בטח גם פרץ לגוגל עם ai נכון?!!!

יפה! אתה מכיר את הבחור?
אגב הוא היום בכלא על זה
ועכשיו ברצינות
אתה מתכחש לעובדה שחסימה שלא הוגדרה כמו שצריך ניתנת לעקיפה?
אם כן רוץ להיות CISO

@A0533057932 לא הבנתי מה באת לחדש לי כבר כתבתי שאני לא מבין באנדרואיד
בכל אופן דיברתי על לפחות מקרה אחד של בחור שעקף nox עם AI
האמת שאני לא ממש מכיר nox מעבר למה שקראתי פה ושם אבל אולי זה היה בעיה בתצורה שבה הגדירו אותו
לא אמרתי לא אפשרי אמרתי קשה מאוד והסיפור ההוא ממחיש