مهدی سمیعیان
6 سال پیش توسط مهدی سمیعیان مطرح شد
10 پاسخ

هک شدن لاراول

امروز صبح که به لیست یوزرهای لاراول مراجعه کردم متوجه شدم تعداد زیادی کاربر فیک داخل آن اینسرت شده است.
کاربرها از نوع ادمین نیستند و کاربر عادی با ایمیل ها و اطلاعات مختلف است.
هیچکدوم هم remember_token ندارند و null درج شده
من توی پنل امکان تعریف کاربر جدید قرار ندادم. با این توضیحات به نظرتون دیتابیس هک شده؟ به سایت نفوذ کردن؟ این رو هم بگم که سایت روی هاست اشتراکی هست


ثبت پرسش جدید
مهدی سمیعیان
تخصص : برنامه نویس وب/اندروید
@mahdidev 6 سال پیش آپدیت شد
0

@juza666
لاراول ۵.۵
الان متوجه شدم فرم پیشفرض لاراول برای ثبت نام رو غیر فعال نکردم و از همونجا ثبت نام کرده بودند.
اشتباه از من بوده
ولی از تعداد بالای ثبت نام معلوم میشه که با ربات اینکار رو انجام دادن. چون کپچا هم نداشته


محمد صادقیان
تخصص : برنامه نویس وب - فریم ورک Lara...
@drcode.ir 6 سال پیش مطرح شد
1

احیانا api یا فرمی برای ثبت نام کاربر ندارید؟


سیدعلی موسوی
تخصص : سی شارپ و پی اچ پی
@juza66 6 سال پیش مطرح شد
0

از کدوم نسخه لاراول استفاده میکنی؟!
ایا فرم ثبت نامت csrf توکن داشت؟
از ajax یا فریمورک جاوا اسکریپت استفاده کردی؟
از کجا هاست اشتراکی گرفتی؟!


مهدی سمیعیان
تخصص : برنامه نویس وب/اندروید
@mahdidev 6 سال پیش مطرح شد
0

@dr-code.ir
اصلا api براش تعریف نکردم. ثبت یوزر رو هم با کد توی کنترلر انجام دادم


محمد صادقیان
تخصص : برنامه نویس وب - فریم ورک Lara...
@drcode.ir 6 سال پیش مطرح شد
0

@mahdidev
route و تابعی که برای ایجاد یوزر استفاده می کنید رو قرار بدید.


مهدی سمیعیان
تخصص : برنامه نویس وب/اندروید
@mahdidev 6 سال پیش آپدیت شد
0

@juza666
لاراول ۵.۵
الان متوجه شدم فرم پیشفرض لاراول برای ثبت نام رو غیر فعال نکردم و از همونجا ثبت نام کرده بودند.
اشتباه از من بوده
ولی از تعداد بالای ثبت نام معلوم میشه که با ربات اینکار رو انجام دادن. چون کپچا هم نداشته


مهدی سمیعیان
تخصص : برنامه نویس وب/اندروید
@mahdidev 6 سال پیش آپدیت شد
0

فقط چرا برای یوزرهایی که با استفاده از فرم ثبت نام می کنند remember_token ثبت نمی شود ولی وقتی داخل کنترلر با کد یک یوزر create می شود به صورت خودکار remember_token برایش ثبت می شود؟


محمد صادقیان
تخصص : برنامه نویس وب - فریم ورک Lara...
@drcode.ir 6 سال پیش آپدیت شد
1

remember_token این مورد فقط زمانی که 1 کاربر وارد سایت میشه و موقع (LogOut) خارج شدن remember_token براش ثبت میشه.
چون اون کاربر ها توسط ربات ثبت شدن و فقط ذخیره شده پس نه کسی باهاشون وارد شده و نه خارج شده پس براشون remember_token هم ذخیره نمیشه.


سیدعلی موسوی
تخصص : سی شارپ و پی اچ پی
@juza66 6 سال پیش مطرح شد
1

حتی اگر فرم ثبت نام لاراول باشه بازم امنه و از طریق ربات نمیتونه ثبت نام انجام بده!

باید دید چطور سایتت رو اپلود کردی ؟! نکنه فایل .env تویی پابلیک!!!!


مهدی سمیعیان
تخصص : برنامه نویس وب/اندروید
@mahdidev 6 سال پیش مطرح شد
0

@juza666
وقتی کپچا نداشته باشه چطوری می تونه جلوی ربات رو بگیره؟
چون تعداد زیادی کاربر ثبت نام شده حدس می زنم ربات بوده باشه.


سیدعلی موسوی
تخصص : سی شارپ و پی اچ پی
@juza66 6 سال پیش مطرح شد
0

ایا لاگین راکت ریکپچا داره؟! ایا انجمن برای ثبت پاسخ ریکپچا داره؟! نداره دیگه پس امنیت این سایت چطوری حفظ میشه؟!
شما تویی فرم هات یک فیلد csrf توکن داری و لاراول هم تویی خیلی از مسایل فرم و وب رو امن نگه میداره پس ربطی به ریکپچا نداره و نمیگم که استفاده نکن ولی من میگم ربطی نداره


برای ارسال پاسخ لازم است وارد شده یا ثبت‌نام کنید

ورود یا ثبت‌نام