هک شدن لاراول
امروز صبح که به لیست یوزرهای لاراول مراجعه کردم متوجه شدم تعداد زیادی کاربر فیک داخل آن اینسرت شده است.
کاربرها از نوع ادمین نیستند و کاربر عادی با ایمیل ها و اطلاعات مختلف است.
هیچکدوم هم remember_token ندارند و null درج شده
من توی پنل امکان تعریف کاربر جدید قرار ندادم. با این توضیحات به نظرتون دیتابیس هک شده؟ به سایت نفوذ کردن؟ این رو هم بگم که سایت روی هاست اشتراکی هست
گزینش سوالات
گفت و گو های مرتبط
دسته بندی سوالات
تگهای محبوب
@juza666
لاراول ۵.۵
الان متوجه شدم فرم پیشفرض لاراول برای ثبت نام رو غیر فعال نکردم و از همونجا ثبت نام کرده بودند.
اشتباه از من بوده
ولی از تعداد بالای ثبت نام معلوم میشه که با ربات اینکار رو انجام دادن. چون کپچا هم نداشته
از کدوم نسخه لاراول استفاده میکنی؟!
ایا فرم ثبت نامت csrf توکن داشت؟
از ajax یا فریمورک جاوا اسکریپت استفاده کردی؟
از کجا هاست اشتراکی گرفتی؟!
@juza666
لاراول ۵.۵
الان متوجه شدم فرم پیشفرض لاراول برای ثبت نام رو غیر فعال نکردم و از همونجا ثبت نام کرده بودند.
اشتباه از من بوده
ولی از تعداد بالای ثبت نام معلوم میشه که با ربات اینکار رو انجام دادن. چون کپچا هم نداشته
فقط چرا برای یوزرهایی که با استفاده از فرم ثبت نام می کنند remember_token ثبت نمی شود ولی وقتی داخل کنترلر با کد یک یوزر create می شود به صورت خودکار remember_token برایش ثبت می شود؟
remember_token این مورد فقط زمانی که 1 کاربر وارد سایت میشه و موقع (LogOut) خارج شدن remember_token براش ثبت میشه.
چون اون کاربر ها توسط ربات ثبت شدن و فقط ذخیره شده پس نه کسی باهاشون وارد شده و نه خارج شده پس براشون remember_token هم ذخیره نمیشه.
حتی اگر فرم ثبت نام لاراول باشه بازم امنه و از طریق ربات نمیتونه ثبت نام انجام بده!
باید دید چطور سایتت رو اپلود کردی ؟! نکنه فایل .env تویی پابلیک!!!!
@juza666
وقتی کپچا نداشته باشه چطوری می تونه جلوی ربات رو بگیره؟
چون تعداد زیادی کاربر ثبت نام شده حدس می زنم ربات بوده باشه.
ایا لاگین راکت ریکپچا داره؟! ایا انجمن برای ثبت پاسخ ریکپچا داره؟! نداره دیگه پس امنیت این سایت چطوری حفظ میشه؟!
شما تویی فرم هات یک فیلد csrf توکن داری و لاراول هم تویی خیلی از مسایل فرم و وب رو امن نگه میداره پس ربطی به ریکپچا نداره و نمیگم که استفاده نکن ولی من میگم ربطی نداره