ثغرة أمنية
مرحباً @Janno_Liivak،
شكراً لك على هذه الإضافة المفيدة! لقد وجدت بعض الثغرات الأمنية الحرجة التي تحتاج إلى اهتمام:
المشاكل
- عدم وجود تحقق من الصلاحيات - يمكن لأي مستخدم تحديد أي موضوع على أنه مباع/مشترى/متبادل
- نقص التحقق من جانب الخادم - لا تتحقق وحدات التحكم من:
- تمكين الإضافة (
topic_trade_buttons_enabled) - تمكين أزرار الفئة (
enable_*_button) - التحقق من الواجهة الأمامية فقط من هذه الإعدادات (غير آمن)
- تمكين الإضافة (
- عدم وجود تحقق من المدخلات - لم يتم التحقق من المعلمة
topic_id - عدم إنشاء سجل للإجراءات - لم يتم تسجيل العمليات، ولا يوجد سجل لمن قام بالإجراءات
التأثير
- التلاعب غير المصرح به بالمواضيع
- تجاوز إعدادات الإضافة/الفئة عبر استدعاءات API مباشرة
- لا يوجد سجل تدقيق لمن قام بإجراءات التداول