שיתוף | מפתחים בBase44? תוודאו שאתם בטוחים🛡️
-
קצת ארוך - אבל שווה את זה, כדאי לקרוא עד הסוף!
אחד הכלים שאני הכי נהנה לבנות בהם אתרים ואפליקציות הוא Base44.
בהתחלה ממש התלהבתי ממנו ופיזרתי דברים שבניתי איתו לכל כיוון, עד שמישהו הסב את תשומת ליבי לפרטים אישיים של משתמשים שדלפו החוצה מהאתר שבניתי בגלל הרשאות קריאה וכתיבה לא תקינות של מאגרי הנתונים שלי.
עד אותו רגע בכלל לא חשבתי על זה וגם הבוט שלהם בעצמו לא חשב על לסדר את ההרשאות ולא הפנה את תשומת ליבי לזה.
זה הגיע למצב שכתובות מיילים, שמות, מספרי טלפון ועוד פרטים של משתמשים באתרים שבניתי פשוט היו חשופים לכולי עלמא.
זה היה חלק אחד שלימד אותי כמה חשוב וצריך לשים לב כל הזמן להרשאות קריאה וכתיבה.
זה היה לפני כמה חודשים ובינתיים שכחתי מהסיפור.החלק השני היה כשראיתי אתר שמישהו בנה בBase44, ובגלל שהאתר שלו היה בשלבי בנייה - הוא חסם אותו זמנית למשתמשים אורחים.
ראיתי שבשנייה הראשונה האתר עצמו כן נטען ורק אחרי רגע מופיע מסך החסימה.
הלכתי לNetwork וראיתי באמת בקשה בשם "maintenance_mode" שנטענת עם הערך "true" שנייה אחרי שהאתר עצמו נטען.
בפשטות, האתר שואל את השרת אם maintenance_mode פעיל
השרת מחזיר את הערכים של AppSettings, למשל:
maintenance_mode = true
הסקריפט תופס את התשובה לפני שהקוד של האתר קורא אותה ומחליף מקומית ל maintenance_mode=false
ככה מבחינת הקוד שרץ בדפדפן, האתר “חושב” שאין מצב תחזוקה ולכן השכבה של החסימה לא מוצגת וכל האתר מוצג בריש גלי:
נחמד מאוד, טפחתי לי לעצמי על השכם, וראיתי שאם מתחברים ניתן לראות יותר תוכן, אז התחברתי עם חשבון גוגל במסך ההתחברות הרגיל של Base44:
ברגע שהתחברתי ראיתי חסימה נוספת שמופיעה למשתמשים מחוברים שאין להם הרשאת צפייה:
ראיתי שגם בחסימה הזאת, קודם האתר הרגיל נטען ורק אחרי שנייה מופיע מסך החסימה.
כלומר - האתר כן נטען ורק אחרי זה הוא מוודא איזה משתמש נכנס.שוב הרצתי סקריפט שמנסה לתפוס את הבקשה של השרת ולתת לעצמי כמה שיותר הרשאות:
ו...
הצלחתי להיכנס בתור מנהל🥳
אממה, במצב הנתון אני נחשב מנהל רק בצד הלקוח ולכן מוצג לי האתר שכבר נטען ונחסם לאחר מכן, אבל לערוך את הדברים כמנהל - זה אני לא יכול כי בשביל זה צריך גם אימות של צד שרת כמובן.
מהבחינה הזו - עד כאן הצלחתי להגיע, אבל זה לא נגמר פה.
במהלך כל החיטוטים בנבכי האתר הזה, פתאום גיליתי שהבעלים שלו חבר שלי.
אמרתי, איזה יופי, עכשיו לא איכפת לי לקחת עוד צעד קדימה - fishing attack.הכנתי אתר בBase44 שנראה בדיוק כמו דף הכניסה לאתר שלו, ושלחתי לו מייל מתחזה, כאילו בשם מערכת התמיכה של Base44.
פתחתי חשבון מייל בשם "base44support@gmail.com", ובהגדרות החשבון שיניתי את השם שמופיע בשליחה שלו ל: "Base44 | Support", שמתי תמונת פרופיל של הלוגו שלהם ועיצבתי מייל שנראה בדיוק כמו המיילים שהם שולחים.
תוצאה סופית:
כשכפתור האימות במרכז מוביל לדף נחיתה שיצרתי בBase44 גם, וזה - כדי שכתובת האתר תהיה די אמינה. מי שיודע, אפשר לבחור סאב דומיין של האתר שלכם תחת base44.app אם הוא זמין, והכתובת "login-app.base44.app" הייתה זמינה!
כשהוא נכנס לקישור הוא מגיע לדף הבא:
שמי שזוכר מלמעלה - נראה מאוד מאוד דומה למקור.
עשיתי שכשלוחצים על התחברות עם גוגל - זה מראה שגיאה ומבקש להזין מייל וסיסמה:
ברגע שהוא לוחץ על שליחה למטה - שני הערכים האלו נשלחים אלי אוטומטית למייל בצורה מסודרת, והוא ממשיך לאתר המקורי של Base44, וככה יש לי את פרטי ההתחברות של המנהל.
זה היה ארוך - אבל שווה את הסיפוק והלמידה.
מקווה שעניין אתכם ושהחכמתם.
אם יש לי טעויות אשמח שתתקנו אותי כדי שגם אני אלמד, וכנ"ל לגבי שאלות הערות והארות - אשמח לקנות כמה שיותר ידע בתחום. -
קצת ארוך - אבל שווה את זה, כדאי לקרוא עד הסוף!
אחד הכלים שאני הכי נהנה לבנות בהם אתרים ואפליקציות הוא Base44.
בהתחלה ממש התלהבתי ממנו ופיזרתי דברים שבניתי איתו לכל כיוון, עד שמישהו הסב את תשומת ליבי לפרטים אישיים של משתמשים שדלפו החוצה מהאתר שבניתי בגלל הרשאות קריאה וכתיבה לא תקינות של מאגרי הנתונים שלי.
עד אותו רגע בכלל לא חשבתי על זה וגם הבוט שלהם בעצמו לא חשב על לסדר את ההרשאות ולא הפנה את תשומת ליבי לזה.
זה הגיע למצב שכתובות מיילים, שמות, מספרי טלפון ועוד פרטים של משתמשים באתרים שבניתי פשוט היו חשופים לכולי עלמא.
זה היה חלק אחד שלימד אותי כמה חשוב וצריך לשים לב כל הזמן להרשאות קריאה וכתיבה.
זה היה לפני כמה חודשים ובינתיים שכחתי מהסיפור.החלק השני היה כשראיתי אתר שמישהו בנה בBase44, ובגלל שהאתר שלו היה בשלבי בנייה - הוא חסם אותו זמנית למשתמשים אורחים.
ראיתי שבשנייה הראשונה האתר עצמו כן נטען ורק אחרי רגע מופיע מסך החסימה.
הלכתי לNetwork וראיתי באמת בקשה בשם "maintenance_mode" שנטענת עם הערך "true" שנייה אחרי שהאתר עצמו נטען.בפשטות, האתר שואל את השרת אם maintenance_mode פעיל
השרת מחזיר את הערכים של AppSettings, למשל:
maintenance_mode = true
הסקריפט תופס את התשובה לפני שהקוד של האתר קורא אותה ומחליף מקומית ל maintenance_mode=false
ככה מבחינת הקוד שרץ בדפדפן, האתר “חושב” שאין מצב תחזוקה ולכן השכבה של החסימה לא מוצגת וכל האתר מוצג בריש גלי:נחמד מאוד, טפחתי לי לעצמי על השכם, וראיתי שאם מתחברים ניתן לראות יותר תוכן, אז התחברתי עם חשבון גוגל במסך ההתחברות הרגיל של Base44:
ברגע שהתחברתי ראיתי חסימה נוספת שמופיעה למשתמשים מחוברים שאין להם הרשאת צפייה:
ראיתי שגם בחסימה הזאת, קודם האתר הרגיל נטען ורק אחרי שנייה מופיע מסך החסימה.
כלומר - האתר כן נטען ורק אחרי זה הוא מוודא איזה משתמש נכנס.שוב הרצתי סקריפט שמנסה לתפוס את הבקשה של השרת ולתת לעצמי כמה שיותר הרשאות:
ו...
הצלחתי להיכנס בתור מנהל🥳
אממה, במצב הנתון אני נחשב מנהל רק בצד הלקוח ולכן מוצג לי האתר שכבר נטען ונחסם לאחר מכן, אבל לערוך את הדברים כמנהל - זה אני לא יכול כי בשביל זה צריך גם אימות של צד שרת כמובן.
מהבחינה הזו - עד כאן הצלחתי להגיע, אבל זה לא נגמר פה.
במהלך כל החיטוטים בנבכי האתר הזה, פתאום גיליתי שהבעלים שלו חבר שלי.
אמרתי, איזה יופי, עכשיו לא איכפת לי לקחת עוד צעד קדימה - fishing attack.הכנתי אתר בBase44 שנראה בדיוק כמו דף הכניסה לאתר שלו, ושלחתי לו מייל מתחזה, כאילו בשם מערכת התמיכה של Base44.
פתחתי חשבון מייל בשם "base44support@gmail.com", ובהגדרות החשבון שיניתי את השם שמופיע בשליחה שלו ל: "Base44 | Support", שמתי תמונת פרופיל של הלוגו שלהם ועיצבתי מייל שנראה בדיוק כמו המיילים שהם שולחים.
תוצאה סופית:כשכפתור האימות במרכז מוביל לדף נחיתה שיצרתי בBase44 גם, וזה - כדי שכתובת האתר תהיה די אמינה. מי שיודע, אפשר לבחור סאב דומיין של האתר שלכם תחת base44.app אם הוא זמין, והכתובת "login-app.base44.app" הייתה זמינה!
כשהוא נכנס לקישור הוא מגיע לדף הבא:
שמי שזוכר מלמעלה - נראה מאוד מאוד דומה למקור.
עשיתי שכשלוחצים על התחברות עם גוגל - זה מראה שגיאה ומבקש להזין מייל וסיסמה:ברגע שהוא לוחץ על שליחה למטה - שני הערכים האלו נשלחים אלי אוטומטית למייל בצורה מסודרת, והוא ממשיך לאתר המקורי של Base44, וככה יש לי את פרטי ההתחברות של המנהל.
זה היה ארוך - אבל שווה את הסיפוק והלמידה.
מקווה שעניין אתכם ושהחכמתם.
אם יש לי טעויות אשמח שתתקנו אותי כדי שגם אני אלמד, וכנ"ל לגבי שאלות הערות והארות - אשמח לקנות כמה שיותר ידע בתחום. -
@אברהם-גלסר זה ידוע שai גרוע באבטחה.
כלל לכל יוצרי הבינות:
אף פעם.
אבל אף פעם!
לא לסמוך על הקוד שלה מבחינה אבטחתית.תתחדש על התמונות פרופיל..
-
קצת ארוך - אבל שווה את זה, כדאי לקרוא עד הסוף!
אחד הכלים שאני הכי נהנה לבנות בהם אתרים ואפליקציות הוא Base44.
בהתחלה ממש התלהבתי ממנו ופיזרתי דברים שבניתי איתו לכל כיוון, עד שמישהו הסב את תשומת ליבי לפרטים אישיים של משתמשים שדלפו החוצה מהאתר שבניתי בגלל הרשאות קריאה וכתיבה לא תקינות של מאגרי הנתונים שלי.
עד אותו רגע בכלל לא חשבתי על זה וגם הבוט שלהם בעצמו לא חשב על לסדר את ההרשאות ולא הפנה את תשומת ליבי לזה.
זה הגיע למצב שכתובות מיילים, שמות, מספרי טלפון ועוד פרטים של משתמשים באתרים שבניתי פשוט היו חשופים לכולי עלמא.
זה היה חלק אחד שלימד אותי כמה חשוב וצריך לשים לב כל הזמן להרשאות קריאה וכתיבה.
זה היה לפני כמה חודשים ובינתיים שכחתי מהסיפור.החלק השני היה כשראיתי אתר שמישהו בנה בBase44, ובגלל שהאתר שלו היה בשלבי בנייה - הוא חסם אותו זמנית למשתמשים אורחים.
ראיתי שבשנייה הראשונה האתר עצמו כן נטען ורק אחרי רגע מופיע מסך החסימה.
הלכתי לNetwork וראיתי באמת בקשה בשם "maintenance_mode" שנטענת עם הערך "true" שנייה אחרי שהאתר עצמו נטען.בפשטות, האתר שואל את השרת אם maintenance_mode פעיל
השרת מחזיר את הערכים של AppSettings, למשל:
maintenance_mode = true
הסקריפט תופס את התשובה לפני שהקוד של האתר קורא אותה ומחליף מקומית ל maintenance_mode=false
ככה מבחינת הקוד שרץ בדפדפן, האתר “חושב” שאין מצב תחזוקה ולכן השכבה של החסימה לא מוצגת וכל האתר מוצג בריש גלי:נחמד מאוד, טפחתי לי לעצמי על השכם, וראיתי שאם מתחברים ניתן לראות יותר תוכן, אז התחברתי עם חשבון גוגל במסך ההתחברות הרגיל של Base44:
ברגע שהתחברתי ראיתי חסימה נוספת שמופיעה למשתמשים מחוברים שאין להם הרשאת צפייה:
ראיתי שגם בחסימה הזאת, קודם האתר הרגיל נטען ורק אחרי שנייה מופיע מסך החסימה.
כלומר - האתר כן נטען ורק אחרי זה הוא מוודא איזה משתמש נכנס.שוב הרצתי סקריפט שמנסה לתפוס את הבקשה של השרת ולתת לעצמי כמה שיותר הרשאות:
ו...
הצלחתי להיכנס בתור מנהל🥳
אממה, במצב הנתון אני נחשב מנהל רק בצד הלקוח ולכן מוצג לי האתר שכבר נטען ונחסם לאחר מכן, אבל לערוך את הדברים כמנהל - זה אני לא יכול כי בשביל זה צריך גם אימות של צד שרת כמובן.
מהבחינה הזו - עד כאן הצלחתי להגיע, אבל זה לא נגמר פה.
במהלך כל החיטוטים בנבכי האתר הזה, פתאום גיליתי שהבעלים שלו חבר שלי.
אמרתי, איזה יופי, עכשיו לא איכפת לי לקחת עוד צעד קדימה - fishing attack.הכנתי אתר בBase44 שנראה בדיוק כמו דף הכניסה לאתר שלו, ושלחתי לו מייל מתחזה, כאילו בשם מערכת התמיכה של Base44.
פתחתי חשבון מייל בשם "base44support@gmail.com", ובהגדרות החשבון שיניתי את השם שמופיע בשליחה שלו ל: "Base44 | Support", שמתי תמונת פרופיל של הלוגו שלהם ועיצבתי מייל שנראה בדיוק כמו המיילים שהם שולחים.
תוצאה סופית:כשכפתור האימות במרכז מוביל לדף נחיתה שיצרתי בBase44 גם, וזה - כדי שכתובת האתר תהיה די אמינה. מי שיודע, אפשר לבחור סאב דומיין של האתר שלכם תחת base44.app אם הוא זמין, והכתובת "login-app.base44.app" הייתה זמינה!
כשהוא נכנס לקישור הוא מגיע לדף הבא:
שמי שזוכר מלמעלה - נראה מאוד מאוד דומה למקור.
עשיתי שכשלוחצים על התחברות עם גוגל - זה מראה שגיאה ומבקש להזין מייל וסיסמה:ברגע שהוא לוחץ על שליחה למטה - שני הערכים האלו נשלחים אלי אוטומטית למייל בצורה מסודרת, והוא ממשיך לאתר המקורי של Base44, וככה יש לי את פרטי ההתחברות של המנהל.
זה היה ארוך - אבל שווה את הסיפוק והלמידה.
מקווה שעניין אתכם ושהחכמתם.
אם יש לי טעויות אשמח שתתקנו אותי כדי שגם אני אלמד, וכנ"ל לגבי שאלות הערות והארות - אשמח לקנות כמה שיותר ידע בתחום.@אברהם-גלסר שאפו!
-
קצת ארוך - אבל שווה את זה, כדאי לקרוא עד הסוף!
אחד הכלים שאני הכי נהנה לבנות בהם אתרים ואפליקציות הוא Base44.
בהתחלה ממש התלהבתי ממנו ופיזרתי דברים שבניתי איתו לכל כיוון, עד שמישהו הסב את תשומת ליבי לפרטים אישיים של משתמשים שדלפו החוצה מהאתר שבניתי בגלל הרשאות קריאה וכתיבה לא תקינות של מאגרי הנתונים שלי.
עד אותו רגע בכלל לא חשבתי על זה וגם הבוט שלהם בעצמו לא חשב על לסדר את ההרשאות ולא הפנה את תשומת ליבי לזה.
זה הגיע למצב שכתובות מיילים, שמות, מספרי טלפון ועוד פרטים של משתמשים באתרים שבניתי פשוט היו חשופים לכולי עלמא.
זה היה חלק אחד שלימד אותי כמה חשוב וצריך לשים לב כל הזמן להרשאות קריאה וכתיבה.
זה היה לפני כמה חודשים ובינתיים שכחתי מהסיפור.החלק השני היה כשראיתי אתר שמישהו בנה בBase44, ובגלל שהאתר שלו היה בשלבי בנייה - הוא חסם אותו זמנית למשתמשים אורחים.
ראיתי שבשנייה הראשונה האתר עצמו כן נטען ורק אחרי רגע מופיע מסך החסימה.
הלכתי לNetwork וראיתי באמת בקשה בשם "maintenance_mode" שנטענת עם הערך "true" שנייה אחרי שהאתר עצמו נטען.בפשטות, האתר שואל את השרת אם maintenance_mode פעיל
השרת מחזיר את הערכים של AppSettings, למשל:
maintenance_mode = true
הסקריפט תופס את התשובה לפני שהקוד של האתר קורא אותה ומחליף מקומית ל maintenance_mode=false
ככה מבחינת הקוד שרץ בדפדפן, האתר “חושב” שאין מצב תחזוקה ולכן השכבה של החסימה לא מוצגת וכל האתר מוצג בריש גלי:נחמד מאוד, טפחתי לי לעצמי על השכם, וראיתי שאם מתחברים ניתן לראות יותר תוכן, אז התחברתי עם חשבון גוגל במסך ההתחברות הרגיל של Base44:
ברגע שהתחברתי ראיתי חסימה נוספת שמופיעה למשתמשים מחוברים שאין להם הרשאת צפייה:
ראיתי שגם בחסימה הזאת, קודם האתר הרגיל נטען ורק אחרי שנייה מופיע מסך החסימה.
כלומר - האתר כן נטען ורק אחרי זה הוא מוודא איזה משתמש נכנס.שוב הרצתי סקריפט שמנסה לתפוס את הבקשה של השרת ולתת לעצמי כמה שיותר הרשאות:
ו...
הצלחתי להיכנס בתור מנהל🥳
אממה, במצב הנתון אני נחשב מנהל רק בצד הלקוח ולכן מוצג לי האתר שכבר נטען ונחסם לאחר מכן, אבל לערוך את הדברים כמנהל - זה אני לא יכול כי בשביל זה צריך גם אימות של צד שרת כמובן.
מהבחינה הזו - עד כאן הצלחתי להגיע, אבל זה לא נגמר פה.
במהלך כל החיטוטים בנבכי האתר הזה, פתאום גיליתי שהבעלים שלו חבר שלי.
אמרתי, איזה יופי, עכשיו לא איכפת לי לקחת עוד צעד קדימה - fishing attack.הכנתי אתר בBase44 שנראה בדיוק כמו דף הכניסה לאתר שלו, ושלחתי לו מייל מתחזה, כאילו בשם מערכת התמיכה של Base44.
פתחתי חשבון מייל בשם "base44support@gmail.com", ובהגדרות החשבון שיניתי את השם שמופיע בשליחה שלו ל: "Base44 | Support", שמתי תמונת פרופיל של הלוגו שלהם ועיצבתי מייל שנראה בדיוק כמו המיילים שהם שולחים.
תוצאה סופית:כשכפתור האימות במרכז מוביל לדף נחיתה שיצרתי בBase44 גם, וזה - כדי שכתובת האתר תהיה די אמינה. מי שיודע, אפשר לבחור סאב דומיין של האתר שלכם תחת base44.app אם הוא זמין, והכתובת "login-app.base44.app" הייתה זמינה!
כשהוא נכנס לקישור הוא מגיע לדף הבא:
שמי שזוכר מלמעלה - נראה מאוד מאוד דומה למקור.
עשיתי שכשלוחצים על התחברות עם גוגל - זה מראה שגיאה ומבקש להזין מייל וסיסמה:ברגע שהוא לוחץ על שליחה למטה - שני הערכים האלו נשלחים אלי אוטומטית למייל בצורה מסודרת, והוא ממשיך לאתר המקורי של Base44, וככה יש לי את פרטי ההתחברות של המנהל.
זה היה ארוך - אבל שווה את הסיפוק והלמידה.
מקווה שעניין אתכם ושהחכמתם.
אם יש לי טעויות אשמח שתתקנו אותי כדי שגם אני אלמד, וכנ"ל לגבי שאלות הערות והארות - אשמח לקנות כמה שיותר ידע בתחום.עכשיו אני נזכר לשאול
אם יש למישהו רעיון איך בצורה כל שהיא כן יש דרך לשנות משהו בצד שרת על ידי סקריפט שרץ בצד לקוח אשמח שיכתוב.
או שזה תרתי דסתרי... -
עכשיו אני נזכר לשאול
אם יש למישהו רעיון איך בצורה כל שהיא כן יש דרך לשנות משהו בצד שרת על ידי סקריפט שרץ בצד לקוח אשמח שיכתוב.
או שזה תרתי דסתרי...@אברהם-גלסר לא גילית לנו איך החבר הגיב...
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}