Tek taraflı anlatmanın bir anlamı yok. İlgili yazılımla hem JS tarafında (istemciye güvenilen) hemde session yönetimi tarafında ciddi açıklar bulunmaktadır. Sadece session id kontrolü yapılır uzaktan herhangi bir session id gönderildiğinde yönetim paneline erişim sağlanabilmektedir. Ayrıca "Session Hijacking" açıkları ve bazı bölümlerde dolaylı SQL Injection riskleri vardır.
120 dosyadan oluşan yazılımda tek tek bütün açıkların fixlenmesi mümkün değildir. Ayrıca her dosyanın için binlerce satır CSS kodu bulunmaktadır, tema tarafınıda ayıklayamıyoruz.
İlgili güvenlik açıklarını kapatacaklarını beyan ediyorlar ancak güvenlik zaafiyetlerini benim bildirmem gerekiyor. Ayrıca "nasıl kapatacağız, bu çözer mi?" gibi sorular geliyor.
Arkadaşlar satmak için aldığım yazılımda geliştiricisine güvenlik zaafiyetlerini bildirim çözüm beklemem ne kadar mantıklı?
Ayrıca bu yazılımı açık varsa var ne yapalım? diyip satamayız. Açık olduğunu bile bile insanlara yazılımı satıp hacklenip zarar ettiremeyiz. Sizin için normal olabilir, aldığınız yazılımlarda güvenlik zaafiyeti sorun olmayabilir ancak bizim için oldukça sorun.
scripti satın almadan önce kontrol etmek sizin sorumluluğunuzda, spagetti kod yazılmış olabilir server side içinde yada front end içinde css'de olabilir, kontrol etmek sizin görevinizdi, uzaktan bi bağlanayım bakayım fileslara hocam müsade varmı demek zor bişey değildi, ekranı durdurmadığı arka planda bişeyler karıştırmadığı sürece istediği gibi alacak kişi kurcalayabilir bana göre. yazılım teknolojisi hergün gelişiyor, hergün bir kod bloğunun fixlemesi yada güvenlik syntaxı çıkabiliyor. burada malesef sorumlulukta alıcıda benim nezdimde, satıcı object oriented yazmışmı yazmamışmı pazarlık payınızı güçlendirebilirdi.