Merhaba böyle bir konuyla meşgul etmek istemezdim ancak satış haklarıyla devrettiğim 2 script var. İlgili konu https://www.r10.net/dijital-alisveri...satiyorum.html buradadır.
Satış yaptığımız kişi konuda aşağıdaki maddeye rağmen bizimle iletişime geçip 1 script 1 wordpress temayı almıştır. Ancak scripti inceledimi, incelemedimi bilemiyorum. Veya hocam ben kaynak kodlarıda görmek istiyorum bilgisayarınıza bağlanayım kodlara bakayım da dememiştir. Buna rağmen bize ulaşıp burada şu açık var, burada bu açık var diye iade istemektedir. Biz ise aldığımız güvenlik önlemlerine rağmen eğer bizden talep ettiğiniz bir kod varsa yazalım ve kapatalım teklifimize rağmen ısrarla aynı ifadelere devam etmektedir. Daha sonrasında + tradeyi - trade yapacağım moderatörler karar versin gibi konuşmalar yapmıştır. Sen bana HTML/CSS kısmını yaz ben backend tarafını kendim halledeceğim, Ya da iade al demiştir. Sizce haklı taraf kimdir?
Biz 2 yazılımında açık kaynak olduğunu,tüm konu ve ürünlerin kaldırıldığını, teknik destek isterseniz yardımcı olabileceğimizi belirtmemize rağmen nasıl bir yol izleyebiliriz?
Bu arada faturası kesilmiş, ürünler teslim edilmiştir. Konu tasarımları bile PSD olarak iletilmiştir. Ödemesi bize dahi geçmemiştir bloke süresi olduğu için (sanal posda)
"Konu tasarımlarınıda kullanabilirsiniz. Scriptleri inceleyip tek tek kontrol ettikten sonra lütfen iletişime geçin. Script ile alakalı sorun olursa destek veririz ancak dijital ürün olduğu için iade alamayız. Açık kaynak teslim edilecektir ve faturalı hizmet vermekteyiz."
Script Devirinde Yaşanan Sorunla Alakalı Sorum Var
8
●342
- 20-09-2025, 18:21:46adam açık açık söylemiş açık kaynak satıyorum fatura kesiyorum diye. bi sıkıntı varsa teknik destek veririmde demiş, vaatlerini yerine getirmiş mi getirmiş, ben olsam negatif puanı silerdim itirazda kabul etmezdim. aksine alıcı gözümde şaibeli pozisyona gelirdi, kodları bi şekilde eline geçirdimi yedeğini aldımı bunu hiç bi zaman bilemeyiz, iadesi olamaz.
- 20-09-2025, 18:21:48hocam bu tam bir köylü kurnazlığı ben kabul etmezdim açık kaynak kodu sistem adı üstünde açık olduğunu nerden anlamış ne ile test etmiş test raporları var mı insanlar onlarca yazılımcının çalıştığı açık kaynak platformlarda yüzlerce açık var ama kim ne yapabilmiş bence sen haklısın yazılımcı ve ticaret gözü ile bakarsak
- 20-09-2025, 18:24:07Misafir adlı üyeden alıntı: mesajı görüntüleYönetim panelinin korumasıPos3idon adlı üyeden alıntı: mesajı görüntüle
"kod kaldırılmıştır"
Tam olarak nasıl bir test istiyorsunuz? session id verisi olan geçiyor, csrf yok axios ile gönderdiğinde geçmeyecek mi?
Tek taraflı anlatmanın bir anlamı yok. İlgili yazılımla hem JS tarafında (istemciye güvenilen) hemde session yönetimi tarafında ciddi açıklar bulunmaktadır. Sadece session id kontrolü yapılır uzaktan herhangi bir session id gönderildiğinde yönetim paneline erişim sağlanabilmektedir. Ayrıca "Session Hijacking" açıkları ve bazı bölümlerde dolaylı SQL Injection riskleri vardır.
120 dosyadan oluşan yazılımda tek tek bütün açıkların fixlenmesi mümkün değildir. Ayrıca her dosyanın için binlerce satır CSS kodu bulunmaktadır, tema tarafınıda ayıklayamıyoruz.
İlgili güvenlik açıklarını kapatacaklarını beyan ediyorlar ancak güvenlik zaafiyetlerini benim bildirmem gerekiyor. Ayrıca "nasıl kapatacağız, bu çözer mi?" gibi sorular geliyor.
Arkadaşlar satmak için aldığım yazılımda geliştiricisine güvenlik zaafiyetlerini bildirim çözüm beklemem ne kadar mantıklı?
Ayrıca bu yazılımı "açık varsa var ne yapalım?" diyip satamayız. Açık olduğunu bile bile insanlara yazılımı satıp hacklenip zarar ettiremeyiz. Sizin için normal olabilir, aldığınız yazılımlarda güvenlik zaafiyeti sorun olmayabilir ancak bizim için oldukça sorun. - 20-09-2025, 18:30:58scripti satın almadan önce kontrol etmek sizin sorumluluğunuzda, spagetti kod yazılmış olabilir server side içinde yada front end içinde css'de olabilir, kontrol etmek sizin görevinizdi, uzaktan bi bağlanayım bakayım fileslara hocam müsade varmı demek zor bişey değildi, ekranı durdurmadığı arka planda bişeyler karıştırmadığı sürece istediği gibi alacak kişi kurcalayabilir bana göre. yazılım teknolojisi hergün gelişiyor, hergün bir kod bloğunun fixlemesi yada güvenlik syntaxı çıkabiliyor. burada malesef sorumlulukta alıcıda benim nezdimde, satıcı object oriented yazmışmı yazmamışmı pazarlık payınızı güçlendirebilirdi.Mehmetmasa adlı üyeden alıntı: mesajı görüntüle
- 20-09-2025, 18:33:23Olay yazılımın altyapısı değil, yazılımda bulunan ve satışına engel olan güvenlik zaafiyetleri. Alınan ise dijitalden çok ayıplı bir ürün, şikayet konusuna taşıyacağız.Misafir adlı üyeden alıntı: mesajı görüntüle
İkili tartışmaya girmemek için son mesajım, iyi çalışmalar. - 20-09-2025, 18:33:48Pos3idon adlı üyeden alıntı: mesajı görüntüleMisafir adlı üyeden alıntı: mesajı görüntüleMehmetmasa adlı üyeden alıntı: mesajı görüntüle
Bizde diyoruz ki eğer bu tarz açık varsa anydesk ile bağlanıp dosyaları kontrol edebilirdiniz, bunu geçtim eğer bir sorun varsa düzeltmekde bizim görevimiz. Veya demo giriş, admin girişi açık şekilde paylaşılmıştır. Yine demo bilgilerle bağlanıp saldırı testide yapabilirdiniz. Biz zaten kendimiz dedik scriptleri tek tek inceleyin diye. Kodlarıda ifşa etmemenizi rica ederiz, sonuçta scripti sattığımız kişilerde var. Siz direkt yol gösteriyorsunuz. - 20-09-2025, 19:22:17hocam ben art niyet sezdim polemik çıkmaması adına susuyorum, kodları görmeden kimse kolay kolay hijack türevleri deneyemez, kodları gördükten sonra her türlü yazılımı bypass edecek bi yol türetilir illa ki, yeter ki gerekli donelere sahip olalım, çok basit bi kullanıcı yetkilendirmesiyle kontrolüyle çözülecek bi sorun;bilgiman adlı üyeden alıntı: mesajı görüntüle
mevzu bahis olayı;
if (!isset($_SESSION['admin_id'])) {
header('Location: /admin/login');
exit;
}
gibi çok basit bi yolla session kontrolüyle çözebilirsiniz, günümüzde free ssl vermeyen host - sunucu kalmadı, https üzerinden session çözücek adam varsada bırak zaten hak etmişindir.
hadi cookie açığı var diyelim ini set cookie secure yada httponly tanımlayıp tek satırda çözülecek sorunlar http ve javascript üzerinden komple erişimide kesebilirsin.
sql inject yemek bu devirde ne bileyim komik geliyor. filtre ve escape uygulamalarıda çok basit çözülmeside en basit sorunlardan biri. kesinlikle tarafsız hakem gözüyle bakıyorum, çok eski bi script olarak düşünüyorum tahminim 4-5 senelik vardır minimum çünkü kodlama yapısı baya eski anladığım kadarıyla, ama fixlenmeside bir o kadar kolay. ama burada bir artniyet olduğu çok bariz ortada bence...
polemik üretmemek adına benimde son mesajımdır. isteyen istediği şikayeti açsın ama benim nezdimde işi bilen adam için 1 günde tüm açıklar fixlenir. - 20-09-2025, 19:27:52Yorumunuz için teşekkürler hocam. Biz sunabileceklerimizi, ürünün bu olduğunu giriş yapıp testlerinide yapabileceklerini iletmiştik. Yine bizden talep ederse fixleyeceğimizide belirttik. Kod ifşası yapıp ondan önce satışı yapılan müşterilerimizi riske atmamasınıda söyledik. Sonuçta şikayette aleyhimize karar çıkarsada kodlarımız ifşa olmuş olacak. Gizliden atabiliyorsa atabilir diye ilettik. Açıkca belirtilenler:Misafir adlı üyeden alıntı: mesajı görüntüle
*Ürünü test ediniz
*İadesi dijital ürün ve açık kaynak olduğu için olmadığını belrttik
*Destek isterse verebileceğimizi belirttik, ücretli istemesine rağmen konu tasarımlarını bile PSD olarak verebileceğimizi, fiyatta karşı taraftan talep gelmemesine rağmen indirimde yaptığımızı, fatura kestiğimizi ilettik.
Açık kaynak: Geliştirmeye açık yazılım demek değil midir? Açık kaynak mevcut haliyle satılır yani Açık kaynak yazılımlar doğaları gereği alıcı tarafından inceleme, özelleştirme ve güvenlik testlerine tabi tutulmalıdır...
