0
Kayıt Ol

React Native ve PHP Web Servis Güvenlik Açığı

7

282

  • 06-08-2020, 14:47:28
    #1
    SpaceBow
    SpaceBow
    Merhaba, android uygulamamız var. React Native ile PHP web servis dosyalarına bağlanıp veri alışverişinde bulunuyoruz. Ancak bir yerde açığımız var ve dışarıdan web servisine müdahalede bulunuluyor. Herhangi bir satın alma olmadan, istedikleri kredileri hesaplarına geçebiliyorlar. Biz bu açığı bulamadık. React Native ve PHP web servis güvenliği konusunda bilgi sahibi, projemizin veri trafiğini daha güvenli hale getirecek bir arkadaşa ihtiyacımız vardır.
  • 06-08-2020, 14:48:44
    #2
    cloudsoft
    cloudsoft
    Üyeliği durduruldu
    Merhaba,
    Bu konuda size destek sağlayabilirim.
    05527222606 bu numaradan ulaşabilirsiniz.
  • 06-08-2020, 14:53:48
    #3
    PPuNisHeRR
    PPuNisHeRR
    Merhabalar JWT kullanıyor musunuz acaba ?
  • 06-08-2020, 14:57:10
    #4
    SpaceBow
    SpaceBow
    PPuNisHeRR adlı üyeden alıntı: mesajı görüntüle
    Merhabalar JWT kullanıyor musunuz acaba ?
    Evet kullanıyoruz.
  • 06-08-2020, 15:08:32
    #5
    MSA
    MSA
    Merhaba,
    JWT kullanıyoruz demişsiniz, gizli anahtarınızın ele geçirilmediğinden emin misiniz? veya anahtarın geçerliliğini veya zaman aşımını kontrol ediyor musunuz? anahtarı güncelleyin öncelikle isterseniz.
    İzinsiz kredi yükleyen hesapların loglarını incelemenizi tavsiye ederim, hangi adreslere hangi isteklerde bulunmuşlar. İstekleri takip ederek açığı yakalayabilirsiniz.
    veya kredi yüklenebilecek bütün kod parçacıklarının üzerine küçük bir log kaydı tutturmaya başlayıp kredinin yine hangi dosyadan veya nasıl yüklendiğini anlayabilirsiniz.
  • 06-08-2020, 16:20:12
    #6
    BackenDeveloper
    BackenDeveloper
    Detayları PM ile iletebilirseniz yardımcı olabilirim.
  • 07-08-2020, 17:21:40
    #7
    PPuNisHeRR
    PPuNisHeRR
    MSA adlı üyeden alıntı: mesajı görüntüle
    Merhaba,
    JWT kullanıyoruz demişsiniz, gizli anahtarınızın ele geçirilmediğinden emin misiniz? veya anahtarın geçerliliğini veya zaman aşımını kontrol ediyor musunuz? anahtarı güncelleyin öncelikle isterseniz.
    İzinsiz kredi yükleyen hesapların loglarını incelemenizi tavsiye ederim, hangi adreslere hangi isteklerde bulunmuşlar. İstekleri takip ederek açığı yakalayabilirsiniz.
    veya kredi yüklenebilecek bütün kod parçacıklarının üzerine küçük bir log kaydı tutturmaya başlayıp kredinin yine hangi dosyadan veya nasıl yüklendiğini anlayabilirsiniz.
    Evet bende jwt kullanıp kullanmadığını sormuştum. Dediğiniz gibi ya gizli anahtar çalınmıştır. Yada kredi yükleme kısmında jwt kontrolü yapmıyordur.
  • 25-09-2020, 23:49:21
    #8
    SpaceBow
    SpaceBow
    JWT kuruldu. Açık devam ediyor. Anlamıyorum nasıl nereden yapıyorlar. Pire gibi çoğalıyorlar. Sadece bugün 5 üyelik kapattık. Hep farklı ip adreslerinden gelen istekler. Farklı farklı kişilerin bir kredi satın alma açığını bilmesi de imkansız geliyor. Var mı ücretli destek verebilecek birisi.