Bizde diyoruz ki eğer bu tarz açık varsa anydesk ile bağlanıp dosyaları kontrol edebilirdiniz, bunu geçtim eğer bir sorun varsa düzeltmekde bizim görevimiz. Veya demo giriş, admin girişi açık şekilde paylaşılmıştır. Yine demo bilgilerle bağlanıp saldırı testide yapabilirdiniz. Biz zaten kendimiz dedik scriptleri tek tek inceleyin diye. Kodlarıda ifşa etmemenizi rica ederiz, sonuçta scripti sattığımız kişilerde var. Siz direkt yol gösteriyorsunuz.
hocam ben art niyet sezdim polemik çıkmaması adına susuyorum, kodları görmeden kimse kolay kolay hijack türevleri deneyemez, kodları gördükten sonra her türlü yazılımı bypass edecek bi yol türetilir illa ki, yeter ki gerekli donelere sahip olalım, çok basit bi kullanıcı yetkilendirmesiyle kontrolüyle çözülecek bi sorun;
mevzu bahis olayı;
if (!isset($_SESSION['admin_id'])) {
header('Location: /admin/login');
exit;
}
gibi çok basit bi yolla session kontrolüyle çözebilirsiniz, günümüzde free ssl vermeyen host - sunucu kalmadı, https üzerinden session çözücek adam varsada bırak zaten hak etmişindir.
hadi cookie açığı var diyelim ini set cookie secure yada httponly tanımlayıp tek satırda çözülecek sorunlar http ve javascript üzerinden komple erişimide kesebilirsin.
sql inject yemek bu devirde ne bileyim komik geliyor. filtre ve escape uygulamalarıda çok basit çözülmeside en basit sorunlardan biri. kesinlikle tarafsız hakem gözüyle bakıyorum, çok eski bi script olarak düşünüyorum tahminim 4-5 senelik vardır minimum çünkü kodlama yapısı baya eski anladığım kadarıyla, ama fixlenmeside bir o kadar kolay. ama burada bir artniyet olduğu çok bariz ortada bence...
polemik üretmemek adına benimde son mesajımdır. isteyen istediği şikayeti açsın ama benim nezdimde işi bilen adam için 1 günde tüm açıklar fixlenir.