زي ما قولت في مواقع كتيييييييييير للاسف مليئة بالثغرات الامنية
اول موقع ننوه عنه النهاردة هو www.thejobmasters.com الموقع فيه ثغرات SQL injection و الكود البرمجي يتيح استخدام Cross site scripting مما يكشف البيانات الموجودة في قاعدة البيانات ، و هذا شئ خطير نظرا لانه يتيح الحصول على معلومات سرية غير متاحة الا للمشتركين حيث هذا الموقع يقوم بالتوظيف و قاعدة بياناته مليئة ، الثغرات تتيح الدخول بدون استخدام كلمة سر و الدخول بأي حساب سواء موظف او شركة
احب ان اقول انه الثغرة تم اكتشافها بوساطتي و سيتم طلب تأكيدها من اصدقاء مستقلين في الفريق العربي للبرمجة
المعلومات و التحذير جاء بغية التحذير لا اكثر و لا اقل و تنبيه مستخدمي الموقع و اخذ حذرهم بعدم وضع معلومات سرية او شخصية ، و ليس لي اي مصلحة مالية او مادية و انا لا انتمي لاي شركة تمارس نشاطا مضادا للموقع
اتمنى من مبرمجي الموقع ان يقوموا بتحسين كود الموقع عبر ال Variable sanitation و ال User input validation
شكرا
http://www.google.com.eg/search?hl=en&q=sql+injection&meta=
http://www.google.com.eg/search?hl=en&q=Cross+site+scripting&meta=
No comments:
Post a Comment