adam açık açık söylemiş açık kaynak satıyorum fatura kesiyorum diye. bi sıkıntı varsa teknik destek veririmde demiş, vaatlerini yerine getirmiş mi getirmiş, ben olsam negatif puanı silerdim itirazda kabul etmezdim. aksine alıcı gözümde şaibeli pozisyona gelirdi, kodları bi şekilde eline geçirdimi yedeğini aldımı bunu hiç bi zaman bilemeyiz, iadesi olamaz.
hocam bu tam bir köylü kurnazlığı ben kabul etmezdim açık kaynak kodu sistem adı üstünde açık olduğunu nerden anlamış ne ile test etmiş test raporları var mı insanlar onlarca yazılımcının çalıştığı açık kaynak platformlarda yüzlerce açık var ama kim ne yapabilmiş bence sen haklısın yazılımcı ve ticaret gözü ile bakarsak
Yönetim panelinin koruması
"kod kaldırılmıştır"
Tam olarak nasıl bir test istiyorsunuz? session id verisi olan geçiyor, csrf yok axios ile gönderdiğinde geçmeyecek mi?
Tek taraflı anlatmanın bir anlamı yok. İlgili yazılımla hem JS tarafında (istemciye güvenilen) hemde session yönetimi tarafında ciddi açıklar bulunmaktadır. Sadece session id kontrolü yapılır uzaktan herhangi bir session id gönderildiğinde yönetim paneline erişim sağlanabilmektedir. Ayrıca "Session Hijacking" açıkları ve bazı bölümlerde dolaylı SQL Injection riskleri vardır.
120 dosyadan oluşan yazılımda tek tek bütün açıkların fixlenmesi mümkün değildir. Ayrıca her dosyanın için binlerce satır CSS kodu bulunmaktadır, tema tarafınıda ayıklayamıyoruz.
İlgili güvenlik açıklarını kapatacaklarını beyan ediyorlar ancak güvenlik zaafiyetlerini benim bildirmem gerekiyor. Ayrıca "nasıl kapatacağız, bu çözer mi?" gibi sorular geliyor.
Arkadaşlar satmak için aldığım yazılımda geliştiricisine güvenlik zaafiyetlerini bildirim çözüm beklemem ne kadar mantıklı?
Ayrıca bu yazılımı "
açık varsa var ne yapalım?" diyip satamayız.
Açık olduğunu bile bile insanlara yazılımı satıp hacklenip zarar ettiremeyiz. Sizin için normal olabilir, aldığınız yazılımlarda güvenlik zaafiyeti sorun olmayabilir ancak bizim için oldukça sorun.