ע
@אף-אחד-3 כתב בבדיקות חדירות ואבטחה לאוצריא:
@ע-ה-דכו-ע ליתר דיוק היה אפשר להיכנס לכל חשבון שאני יודע את כתובת המייל שלו ויכול להגיש בקשה לאיפוס סיסמה בשמו
נכון, ואת כתובת המייל יכלת לקבל בקלות מהמון מקומות, בין השאר גם באתר.
אגב אפשר עם ההזרקה הזו של השאילתה לקבל עוד הרבה פרטים, וגם לשנות אולי, אני טועה?
@צבי-ש האתר אכן נכתב ע"י אחד שמשתמש המון בAI, ורק עובר על זה קצת (לא תמיד)... זה היה אני במקרה (בעיקר הבסיס, כל ההמשך כבר היה @פלמנמוני בעיקר).
הכוונה שזה לא סתם מקבץ אנשים שכל אחד מנסה את כוחו עד שהוא מחליט שזה לא בשבילו, אלא שני אנשים פחות או יותר, שעושים את זה, והעמידו אתר נחמד מאוד בסופו של דבר.
@צבי-ש כתב בבדיקות חדירות ואבטחה לאוצריא:
לגופו של עניין אם לקחו שליטה כמו שאתה כותב על חשבון מנהל, ואם אני מצרף את מה שאף-אחד-3 כתב, שהוא פשוט ניסה את id מספר 1 אז לכאורה אפשר להיכנס לכל החשבונות גם, ולא רק על חשבון ספציפי
זה לא שהוא ניסה את ID מספר אחד, אלא את הID שהגיע הראשון ברשימת המשתמשים (כנראה היה ממוין לפי נקודות או משהו).
זה נכון שהוא היה יכול לבחור כל אחד מהמשתמשים, אבל מה זה מוסיף יותר מאשר חשבון מנהל?
אגב הוא השתמש בהזרקת שאילתת NoSql במקום טוקן לאיפוס סיסמה, והיה חסר בדיקת טיפוס שיהיה דווקא סטרינג (אם זה מענין).
@מד כתב בבדיקות חדירות ואבטחה לאוצריא:
כלומר זה המקצוע היחיד שהולך לישאר לבני בשר ודם (וג"כ לא להרבה זמן..)
AI יודע בהחלט לבצע גם את זה (כמובן לא כמו בן אדם, כמו כל הדברים), רק שהוא לא תמיד עושה זאת בברירת מחדל.
זה לא היה כזה קל, וזו לא היתה פירצה שנבעה מחוסר אבטחה טוטאלי, ס"ה באחד מתוך כל הנתיבים שמאפשרים העלאת קבצים היה חסר שני שורות קוד (בכל הנתיבים זה כן היה חסום).
גם הפירצה הקודמת שמצאת קשה לקרוא לה חוסר אבטחה טוטאלי, כמו נניח אם הנתיבי API היו פתוחים לכל דורש.
כלומר גם מתכנת מקצועי היה עלול לפספס את שני החורים האלו, בשביל זה יש מקצוע מיוחד שנקרא חוקר אבטחה.
@צדיק-תמים כתב בעזרה בשליחת מיילים דרך AWS SES:
@יהודי-טוב זה תלוי בחשבון ובהסטוריית תשלומים שלו
זה לא מגבלות שקשורות להיסטוריית תשלומים, זה מגבלות למניעת ספאם.
גם לי זה קרה, הם נורא חשדניים, וייתכן שהם מאשרים רק אתרים קיימים ומוכרים שכבר ניתן יותר לעמוד על טיבם.
אתה יכול להשתמש בzeptomail זה מחיר כפול שנים וחצי, אבל זה לא כזה משמעותי אם אין לך מאה אלף מיילים בחודש
כולנו מכירים את זה: מחפשים בגדים לילדים לעונה הקרובה, אביזרים למטבח או גאדג'ט שראינו בפרסומת, רוצים לקנות בסין, אבל לא מרגישים מספיק בטוחים -
בדיוק בשביל זה הקמנו את Good-לינק – פורום ייעודי ומקצועי למטרת חסד וצרכנות נבונה, שבו עוזרים אחד לשני לקנות חכם.
התייעצות בזמן אמת: שואלים על מוצר בטמו, עלי-אקספרס או אמזון ומקבלים תשובה מבעלי ניסיון.
סדר בבלאגן: מדריכים ברורים על משלוחים, חברות שליחויות והתמודדות עם המכס.
מציאות מהארץ: השוואות מחירים חכמות מול רשתות השיווק בארץ.
קהילה איכותית: מקום שבו "איש את רעהו יעזורו" כדי לחסוך מאות ואלפי שקלים בשנה.
צוות מורחב של מקצוענים באתרי הקניות, שיודעים לעזור בקניה מכל הבחינות, ולהמליץ על מוצרים מתוך ניסיון רב.
אנו מזמינים אתכם להצטרף, לשאול, להמליץ ולהפוך לחלק מקהילת הקניות החכמה של המגזר.
מחכים לכם שם 
בקוד המקורי זה כאן
אני שיניתי קצת את הקוד הזה, אז אני מצרף את הקובץ המלא
package main
import (
"context"
"encoding/json"
"net/http"
"sync"
"sync/atomic"
"time"
)
var openSSEConnections = atomic.Int64{}
var peakSSEConnections = &PeakSSEConnections{}
var peakMu = sync.Mutex{}
type PeakSSEConnections struct {
Value int64 `json:"value" redis:"value"`
Timestamp time.Time `json:"timestamp" redis:"timestamp"`
}
type Statistics struct {
Data []int64 `json:"date"`
Labels []string `json:"labels"`
}
func init() {
ctx, cancel := context.WithTimeout(context.Background(), 5*time.Second)
defer cancel()
p, _ := dbGetPeakSSEConnections(ctx)
peakMu.Lock()
defer peakMu.Unlock()
peakSSEConnections = p
}
func statLogger() {
var old int64
for {
new := openSSEConnections.Load()
if old != new {
dbSaveSSEStatistics(new)
old = new
}
time.Sleep(5 * time.Minute)
}
}
func increaseCounterSSE() {
new := openSSEConnections.Add(1)
peakMu.Lock()
defer peakMu.Unlock()
if new > peakSSEConnections.Value {
peakSSEConnections.Value = new
peakSSEConnections.Timestamp = time.Now()
peak := *peakSSEConnections
go dbSavePeakSSEConnections(&peak)
}
}
func decreaseCounterSSE() {
openSSEConnections.Add(-1)
}
func getStatistics(w http.ResponseWriter, r *http.Request) {
ctx, cancel := context.WithTimeout(r.Context(), 5*time.Second)
defer cancel()
amount, err := dbGetUsersAmount(ctx)
if err != nil {
http.Error(w, "error", http.StatusInternalServerError)
return
}
s, err := dbGetSSEStatistics(ctx, 1000)
if err != nil {
http.Error(w, "error", http.StatusInternalServerError)
return
}
peakMu.Lock()
defer peakMu.Unlock()
response := struct {
UsersAmount int64 `json:"usersAmount"`
ConnectedUsersAmount int64 `json:"connectedUsersAmount"`
PeakSSEConnections *PeakSSEConnections `json:"peakSSEConnections"`
ConnectionsStatistics Statistics `json:"connectionsStatistics"`
}{
UsersAmount: amount,
ConnectedUsersAmount: openSSEConnections.Load(),
PeakSSEConnections: peakSSEConnections,
ConnectionsStatistics: *s,
}
w.Header().Set("Content-Type", "application/json")
json.NewEncoder(w).Encode(response)
}
func resetStatistics(w http.ResponseWriter, r *http.Request) {
peakMu.Lock()
defer peakMu.Unlock()
peakSSEConnections.Value = 0
peakSSEConnections.Timestamp = time.Time{}
p := *peakSSEConnections
go dbSavePeakSSEConnections(&p)
var response Response
response.Success = true
json.NewEncoder(w).Encode(response)
}
@קינג-קומפיוטר כתב במה יכול להיות סיבה לשגיאה 1200 חוזרת ונשנית באתר שמוגש דרך קלאודפלייר?:
אולי יש קשר בין הדברים?
https://tchumim.com/post/170422
החיבור שלי לSSE כן פתוח בנטפרי, רק שאחרי כמה דקות מקבלים שגיאה 1200
האתר הוא בעצם הפרוייקט של נטפרי - הערוץ https://github.com/NetFree-Community/TheChannel הSSE שם נועד כדי לשלוח מידע בזמן אמת למשתמש על הודעות חדשות ועל אימוג'ים שנוספו ע"י המשתמשים.
בעיקרון מאותו דומיין מוגשים גם הקבצים הסטטיים של הצד לקוח, גם התוכן של הערוץ שמוגש כjson בנתיב API, גם המדיה, וגם החיבור SSE (מה שניסיתי להפריד זה את הSSE לדומיין אחד וכל שאר התכנים נשארו בדומיין הראשי).
א. כניסה הכוונה כשנכנסים לאתר, או כשמרעננים את הדף של האתר.
ב. כמו שכתבתי ישנם גם קבצים שמוגשים באתר.
אני העברתי בימים האחרונים אתר שמשתמש בSSE (לשליחת מתמשכת של מידע מהשרת) דרך פרוקסי של קלאודפלייר, ונהיה אחרי כמה שעות המון פעמים שגיאה 1200 בכניסה, שזה אומר על פי התיעוד שיש מידי הרבה בקשות שמחכות בתור מהפרוקסי לשרת המקורי.
השאלה למה זה קורה, השרת לא איטי בכלל לבקשות הרגילות של הקבצים שמגיעות אליו, בטח לא אחרי שכמעט כל הקבצים כבר מוגשים מהמטמון של קלאודפלייר.
המחשבה הראשונה היא שאולי זה קשור לחיבור של הSSE שבעצם נשאר מחובר באופן קבוע, ואולי נספר לחיבורים עד שמתמלאת המכסה, אבל בWebSockets הרי יש תמיכה עד כמה שידוע לי, וגם SSE אמור לכאו' להיכלל בתמיכה הזו.
כמו כן לא מצאתי שום אזכור ברשת על צורך בהחרגת SSE מהreverse proxy של קלאודפלייר.
כמה AI ששאלתי לא כל כך הצליחו להסביר לי למה זה קורה, ומיד אחרי שהעלתי את ההשערה לגבי הSSE הם קפצו על זה מיד והחליטו שצריך לפצל את הSSE לתת דומיין נפרד, אבל כמובן אינני יכול לסמוך עליהם בענין.
אם מישהו יודע האם באמת יש צורך לפצל את הSSE לדומיין נפרד עם ענן אפור, או שיודע מה יכול להיות הסבר אחר לשגיאה, אשמח אם יוכל לעזור לי.
@צדיק-תמים הציע לי במתמחים טופ להשתמש בcloudflare tunnel, ניסיתי גם את זה, ולא עזר.
החיבור מוגדר לhttp2 או 3 מקלאודפלייר לשרת.
בעיקרון גם ניסיתי כבר את לפצל את הדומיין של הSSE לנפרד, ועדיין היה שגיאה, אבל אני לא בטוח במאה אחוז שזה למרות זאת, כי ייתכן שזה ממשתמשים שנשארו עדיין מחוברים לדומיין הישן שלא חסמתי אותו.