שיתוף | מפתחים בBase44? תוודאו שאתם בטוחים🛡️
-
@אברהם-גלסר כתב בשיתוף | מפתחים בBase44? תוודאו שאתם בטוחים
️:@המלאך אלא אם כן זה Claude Mythos
ובשונה מה"מיתוס" המקובל, GPT 5.5 ברמת יכולות אבטחה דומות לקלוד מיתוס!
עריכה: למעשה, כנראה שהוא אפילו טוב יותר מקלוד מיתוס ביכולות הגנת סייבר...
להעשרה נוספת:
-
קצת ארוך - אבל שווה את זה, כדאי לקרוא עד הסוף!
אחד הכלים שאני הכי נהנה לבנות בהם אתרים ואפליקציות הוא Base44.
בהתחלה ממש התלהבתי ממנו ופיזרתי דברים שבניתי איתו לכל כיוון, עד שמישהו הסב את תשומת ליבי לפרטים אישיים של משתמשים שדלפו החוצה מהאתר שבניתי בגלל הרשאות קריאה וכתיבה לא תקינות של מאגרי הנתונים שלי.
עד אותו רגע בכלל לא חשבתי על זה וגם הבוט שלהם בעצמו לא חשב על לסדר את ההרשאות ולא הפנה את תשומת ליבי לזה.
זה הגיע למצב שכתובות מיילים, שמות, מספרי טלפון ועוד פרטים של משתמשים באתרים שבניתי פשוט היו חשופים לכולי עלמא.
זה היה חלק אחד שלימד אותי כמה חשוב וצריך לשים לב כל הזמן להרשאות קריאה וכתיבה.
זה היה לפני כמה חודשים ובינתיים שכחתי מהסיפור.החלק השני היה כשראיתי אתר שמישהו בנה בBase44, ובגלל שהאתר שלו היה בשלבי בנייה - הוא חסם אותו זמנית למשתמשים אורחים.
ראיתי שבשנייה הראשונה האתר עצמו כן נטען ורק אחרי רגע מופיע מסך החסימה.
הלכתי לNetwork וראיתי באמת בקשה בשם "maintenance_mode" שנטענת עם הערך "true" שנייה אחרי שהאתר עצמו נטען.
בפשטות, האתר שואל את השרת אם maintenance_mode פעיל
השרת מחזיר את הערכים של AppSettings, למשל:
maintenance_mode = true
הסקריפט תופס את התשובה לפני שהקוד של האתר קורא אותה ומחליף מקומית ל maintenance_mode=false
ככה מבחינת הקוד שרץ בדפדפן, האתר “חושב” שאין מצב תחזוקה ולכן השכבה של החסימה לא מוצגת וכל האתר מוצג בריש גלי:
נחמד מאוד, טפחתי לי לעצמי על השכם, וראיתי שאם מתחברים ניתן לראות יותר תוכן, אז התחברתי עם חשבון גוגל במסך ההתחברות הרגיל של Base44:
ברגע שהתחברתי ראיתי חסימה נוספת שמופיעה למשתמשים מחוברים שאין להם הרשאת צפייה:
ראיתי שגם בחסימה הזאת, קודם האתר הרגיל נטען ורק אחרי שנייה מופיע מסך החסימה.
כלומר - האתר כן נטען ורק אחרי זה הוא מוודא איזה משתמש נכנס.שוב הרצתי סקריפט שמנסה לתפוס את הבקשה של השרת ולתת לעצמי כמה שיותר הרשאות:
ו...
הצלחתי להיכנס בתור מנהל🥳
אממה, במצב הנתון אני נחשב מנהל רק בצד הלקוח ולכן מוצג לי האתר שכבר נטען ונחסם לאחר מכן, אבל לערוך את הדברים כמנהל - זה אני לא יכול כי בשביל זה צריך גם אימות של צד שרת כמובן.
מהבחינה הזו - עד כאן הצלחתי להגיע, אבל זה לא נגמר פה.
במהלך כל החיטוטים בנבכי האתר הזה, פתאום גיליתי שהבעלים שלו חבר שלי.
אמרתי, איזה יופי, עכשיו לא איכפת לי לקחת עוד צעד קדימה - fishing attack.הכנתי אתר בBase44 שנראה בדיוק כמו דף הכניסה לאתר שלו, ושלחתי לו מייל מתחזה, כאילו בשם מערכת התמיכה של Base44.
פתחתי חשבון מייל בשם "base44support@gmail.com", ובהגדרות החשבון שיניתי את השם שמופיע בשליחה שלו ל: "Base44 | Support", שמתי תמונת פרופיל של הלוגו שלהם ועיצבתי מייל שנראה בדיוק כמו המיילים שהם שולחים.
תוצאה סופית:
כשכפתור האימות במרכז מוביל לדף נחיתה שיצרתי בBase44 גם, וזה - כדי שכתובת האתר תהיה די אמינה. מי שיודע, אפשר לבחור סאב דומיין של האתר שלכם תחת base44.app אם הוא זמין, והכתובת "login-app.base44.app" הייתה זמינה!
כשהוא נכנס לקישור הוא מגיע לדף הבא:
שמי שזוכר מלמעלה - נראה מאוד מאוד דומה למקור.
עשיתי שכשלוחצים על התחברות עם גוגל - זה מראה שגיאה ומבקש להזין מייל וסיסמה:
ברגע שהוא לוחץ על שליחה למטה - שני הערכים האלו נשלחים אלי אוטומטית למייל בצורה מסודרת, והוא ממשיך לאתר המקורי של Base44, וככה יש לי את פרטי ההתחברות של המנהל.
זה היה ארוך - אבל שווה את הסיפוק והלמידה.
מקווה שעניין אתכם ושהחכמתם.
אם יש לי טעויות אשמח שתתקנו אותי כדי שגם אני אלמד, וכנ"ל לגבי שאלות הערות והארות - אשמח לקנות כמה שיותר ידע בתחום.@אברהם-גלסר כתב בשיתוף | מפתחים בBase44? תוודאו שאתם בטוחים
️:מקווה שעניין אתכם ושהחכמתם.
אין לך מושג עד כמה
-
@אברהם-גלסר לא גילית לנו איך החבר הגיב...
@החכם-התם צודק
הוא באמת פתח את זה ושלח את הפרטים.
כמובן שבאותו רגע יצרתי איתו קשר והסברתי לו את כל הבעיות שיש לו באתר.
הוא נדהם כי הוא חשב שAI יודע לעשות מספיק גדרות אבטחה... -
@אברהם-גלסר כתב בשיתוף | מפתחים בBase44? תוודאו שאתם בטוחים
️:@המלאך אלא אם כן זה Claude Mythos
ובשונה מה"מיתוס" המקובל, GPT 5.5 ברמת יכולות אבטחה דומות לקלוד מיתוס!
עריכה: למעשה, כנראה שהוא אפילו טוב יותר מקלוד מיתוס ביכולות הגנת סייבר...
להעשרה נוספת:
@NH.LOCAL כתב בשיתוף | מפתחים בBase44? תוודאו שאתם בטוחים
️:ביכולות הגנת סייבר...
השאלה אם גם במציאת פרצות, זה לא פחות חשוב...
-
@NH.LOCAL כתב בשיתוף | מפתחים בBase44? תוודאו שאתם בטוחים
️:ביכולות הגנת סייבר...
השאלה אם גם במציאת פרצות, זה לא פחות חשוב...
-
@אברהם-גלסר כתב בשיתוף | מפתחים בBase44? תוודאו שאתם בטוחים
️:@המלאך אלא אם כן זה Claude Mythos
ובשונה מה"מיתוס" המקובל, GPT 5.5 ברמת יכולות אבטחה דומות לקלוד מיתוס!
עריכה: למעשה, כנראה שהוא אפילו טוב יותר מקלוד מיתוס ביכולות הגנת סייבר...
להעשרה נוספת:
@NH.LOCAL ממש לא כזה חד משמעי.
ישנם כמה סוגי יכולות התקפיות.
בחלקם מיתוס' הרבה יותר טוב בפער מgpt.
1 - הראשון והקודם לכל. זרו די, פירצת יום אפס. בזה מיתוס' נראה לוקח בהליכה את gpt. [הוא מצא פרצות אבטחה בני עשרות שנים! בדפדפנים על פי פרסומים].
2 - Exploit Development. פה דווקא gpt לוקח. הוא די חזק בreverse engineering [מה שהבאת @nh.local במאמר הראשון עם ה10 דקות מול 10 שעות.
ויש עוד הרבה.
בחלקם gpt מוביל.
ובחלקם דווקא בעל המיתוס מנצח.
לא נראה לי מדוייק להגיד שgpt יותר טוב מקלוד מיתוס באבטחה. -
א אברהם גלסר התייחס לנושא זה
-
קצת ארוך - אבל שווה את זה, כדאי לקרוא עד הסוף!
אחד הכלים שאני הכי נהנה לבנות בהם אתרים ואפליקציות הוא Base44.
בהתחלה ממש התלהבתי ממנו ופיזרתי דברים שבניתי איתו לכל כיוון, עד שמישהו הסב את תשומת ליבי לפרטים אישיים של משתמשים שדלפו החוצה מהאתר שבניתי בגלל הרשאות קריאה וכתיבה לא תקינות של מאגרי הנתונים שלי.
עד אותו רגע בכלל לא חשבתי על זה וגם הבוט שלהם בעצמו לא חשב על לסדר את ההרשאות ולא הפנה את תשומת ליבי לזה.
זה הגיע למצב שכתובות מיילים, שמות, מספרי טלפון ועוד פרטים של משתמשים באתרים שבניתי פשוט היו חשופים לכולי עלמא.
זה היה חלק אחד שלימד אותי כמה חשוב וצריך לשים לב כל הזמן להרשאות קריאה וכתיבה.
זה היה לפני כמה חודשים ובינתיים שכחתי מהסיפור.החלק השני היה כשראיתי אתר שמישהו בנה בBase44, ובגלל שהאתר שלו היה בשלבי בנייה - הוא חסם אותו זמנית למשתמשים אורחים.
ראיתי שבשנייה הראשונה האתר עצמו כן נטען ורק אחרי רגע מופיע מסך החסימה.
הלכתי לNetwork וראיתי באמת בקשה בשם "maintenance_mode" שנטענת עם הערך "true" שנייה אחרי שהאתר עצמו נטען.בפשטות, האתר שואל את השרת אם maintenance_mode פעיל
השרת מחזיר את הערכים של AppSettings, למשל:
maintenance_mode = true
הסקריפט תופס את התשובה לפני שהקוד של האתר קורא אותה ומחליף מקומית ל maintenance_mode=false
ככה מבחינת הקוד שרץ בדפדפן, האתר “חושב” שאין מצב תחזוקה ולכן השכבה של החסימה לא מוצגת וכל האתר מוצג בריש גלי:נחמד מאוד, טפחתי לי לעצמי על השכם, וראיתי שאם מתחברים ניתן לראות יותר תוכן, אז התחברתי עם חשבון גוגל במסך ההתחברות הרגיל של Base44:
ברגע שהתחברתי ראיתי חסימה נוספת שמופיעה למשתמשים מחוברים שאין להם הרשאת צפייה:
ראיתי שגם בחסימה הזאת, קודם האתר הרגיל נטען ורק אחרי שנייה מופיע מסך החסימה.
כלומר - האתר כן נטען ורק אחרי זה הוא מוודא איזה משתמש נכנס.שוב הרצתי סקריפט שמנסה לתפוס את הבקשה של השרת ולתת לעצמי כמה שיותר הרשאות:
ו...
הצלחתי להיכנס בתור מנהל🥳
אממה, במצב הנתון אני נחשב מנהל רק בצד הלקוח ולכן מוצג לי האתר שכבר נטען ונחסם לאחר מכן, אבל לערוך את הדברים כמנהל - זה אני לא יכול כי בשביל זה צריך גם אימות של צד שרת כמובן.
מהבחינה הזו - עד כאן הצלחתי להגיע, אבל זה לא נגמר פה.
במהלך כל החיטוטים בנבכי האתר הזה, פתאום גיליתי שהבעלים שלו חבר שלי.
אמרתי, איזה יופי, עכשיו לא איכפת לי לקחת עוד צעד קדימה - fishing attack.הכנתי אתר בBase44 שנראה בדיוק כמו דף הכניסה לאתר שלו, ושלחתי לו מייל מתחזה, כאילו בשם מערכת התמיכה של Base44.
פתחתי חשבון מייל בשם "base44support@gmail.com", ובהגדרות החשבון שיניתי את השם שמופיע בשליחה שלו ל: "Base44 | Support", שמתי תמונת פרופיל של הלוגו שלהם ועיצבתי מייל שנראה בדיוק כמו המיילים שהם שולחים.
תוצאה סופית:כשכפתור האימות במרכז מוביל לדף נחיתה שיצרתי בBase44 גם, וזה - כדי שכתובת האתר תהיה די אמינה. מי שיודע, אפשר לבחור סאב דומיין של האתר שלכם תחת base44.app אם הוא זמין, והכתובת "login-app.base44.app" הייתה זמינה!
כשהוא נכנס לקישור הוא מגיע לדף הבא:
שמי שזוכר מלמעלה - נראה מאוד מאוד דומה למקור.
עשיתי שכשלוחצים על התחברות עם גוגל - זה מראה שגיאה ומבקש להזין מייל וסיסמה:ברגע שהוא לוחץ על שליחה למטה - שני הערכים האלו נשלחים אלי אוטומטית למייל בצורה מסודרת, והוא ממשיך לאתר המקורי של Base44, וככה יש לי את פרטי ההתחברות של המנהל.
זה היה ארוך - אבל שווה את הסיפוק והלמידה.
מקווה שעניין אתכם ושהחכמתם.
אם יש לי טעויות אשמח שתתקנו אותי כדי שגם אני אלמד, וכנ"ל לגבי שאלות הערות והארות - אשמח לקנות כמה שיותר ידע בתחום. -
@אברהם-גלסר
אז איך עושים אבטחה בצורה טובה?@דוד-33
פעם ראיתי ציטוט בשם פרופסור יוג'ין ספאפורד:
"המערכת המאובטחת היחידה היא כזו שהיא כבויה, יצוקה בתוך בלוק בטון, חתומה בחדר מצופה עופרת עם שומרים חמושים – וגם אז יש לי ספקות לגביה."
לגופו של דיון.
אף פעם אין כזה דבר מאובטחת מספיק.
אבל מדברים רגילים.
אפשר עם הפרומפט הנכון לגרום לAI לבדוק שאין בזה בעיות. -
@דוד-33
פעם ראיתי ציטוט בשם פרופסור יוג'ין ספאפורד:
"המערכת המאובטחת היחידה היא כזו שהיא כבויה, יצוקה בתוך בלוק בטון, חתומה בחדר מצופה עופרת עם שומרים חמושים – וגם אז יש לי ספקות לגביה."
לגופו של דיון.
אף פעם אין כזה דבר מאובטחת מספיק.
אבל מדברים רגילים.
אפשר עם הפרומפט הנכון לגרום לAI לבדוק שאין בזה בעיות. -
@דוד-33 תכתוב פה פרטים ונעזור...
אם אתה לא רוצה כאן אפשר בפרטי -
@NH.LOCAL ממש לא כזה חד משמעי.
ישנם כמה סוגי יכולות התקפיות.
בחלקם מיתוס' הרבה יותר טוב בפער מgpt.
1 - הראשון והקודם לכל. זרו די, פירצת יום אפס. בזה מיתוס' נראה לוקח בהליכה את gpt. [הוא מצא פרצות אבטחה בני עשרות שנים! בדפדפנים על פי פרסומים].
2 - Exploit Development. פה דווקא gpt לוקח. הוא די חזק בreverse engineering [מה שהבאת @nh.local במאמר הראשון עם ה10 דקות מול 10 שעות.
ויש עוד הרבה.
בחלקם gpt מוביל.
ובחלקם דווקא בעל המיתוס מנצח.
לא נראה לי מדוייק להגיד שgpt יותר טוב מקלוד מיתוס באבטחה.@המלאך כתב בשיתוף | מפתחים בBase44? תוודאו שאתם בטוחים
️:@NH.LOCAL ממש לא כזה חד משמעי.
ישנם כמה סוגי יכולות התקפיות.
בחלקם מיתוס' הרבה יותר טוב בפער מgpt.
1 - הראשון והקודם לכל. זרו די, פירצת יום אפס. בזה מיתוס' נראה לוקח בהליכה את gpt. [הוא מצא פרצות אבטחה בני עשרות שנים! בדפדפנים על פי פרסומים].
2 - Exploit Development. פה דווקא gpt לוקח. הוא די חזק בreverse engineering [מה שהבאת @nh.local במאמר הראשון עם ה10 דקות מול 10 שעות.
ויש עוד הרבה.
בחלקם gpt מוביל.
ובחלקם דווקא בעל המיתוס מנצח.
לא נראה לי מדוייק להגיד שgpt יותר טוב מקלוד מיתוס באבטחה.אתה בהחלט צודק. בכל מקרה, לפרוייקטים בסדר גודל כאן, אין שום צורך ביכולות אבטחה מטורפות
למעשה גם GPT 5.4 ו-5.3 היו טובים מספיקכל מה שצריך זה להשתמש ביכולות האלו בפועל. כלומר לבקש מהמודלים למצוא פרצות אבטחה ולתקן אותן
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}