hazem104
اكتشف الثغرة (ح1)
hazem104 | نقاط السمعة: 268
11 يوليو 2016 (تم التعديل في 11 يوليو 2016 - 06:45 م)

التالي موقف افتراضي يتضمن ثغرة مــا قد يستغلهــا احد الطرفين بالاحتيال على الطرف الآخر:

"طلب المشتري من البائع حجز دومين من جودادي لأنه لا يمتلك بطاقة ائتمانية ولم يسبق له الشراء من خلال حسابه، واشترط أن يتم الحجز من خلال حسابه (حساب المشتري) فوافق البائع وتم الحجز من خلال برنامج التيم فيور بحسب شروط المشتري وذلك للمحافظة على بيانات الحساب (حساب المشتري).

قام البائع بعملية الشراء بطرقة ذكية بحيث لم يستطع المشتري مشاهدة أرقام البطاقة الائتمانية للبائع. فتم الشراء وتم تسليم الخدمة"

 

اكتشــف الثغـرة ؟! :)

-----

(الثغرة قد تستغل في حدوث احتيال ولا يشترط حدوث ذلك والسلسلة قد تفيد المستخدمين تجنب الوقوع في مثل هذه الثغرات.)

التعليقات ( 27 )
  • TotaNader

    TotaNader

    نقاط السمعة: 122 تواصل معه
    11 يوليو 2016

    الثغرة وهي التواصل خارج الموقع فقد يتمكن المشتري من ملاحظة ارقام بطاقته الائتمانية وتحدث سرقة لامواله ثانيا تم التواصل خارج الموقع ولا يوجد ما يثبت ان البائع قدم الخدمة لان التواص كان خارج اي خدمة اي اذا الغى المشتري الخدمة سيحتال على البائع بذلك

     

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      11 يوليو 2016

      التعامل تم من خلال الموقع .. ارجو تحديد الاجابة بدقة اكثر ..

      لديك 1.5 نقطة :)

  • hazem104

    hazem104

    نقاط السمعة: 268 تواصل معه
    11 يوليو 2016

    .....

  • HYONICKAL

    HYONICKAL

    نقاط السمعة: 135 تواصل معه
    11 يوليو 2016

    الثغرة التي قد يستغلها المشتري هو انه بإمكانه الغاء الخدمة بسبب أن الخدمة لم تسلم لانها كانت عن طريق تيمفيور و بالرغم من أن البائع اخفى أرقام البطاقة فان المشتري ستكون لديه بتصوير الشاشة أثناء القيام بالعملية أو شيئاً من هذا القبيل و كذلك فموقع أي خدمة قد يؤيد المشتري لأن ليس هناك دليل قاطع في الموقع.

    ليتفادى البائع الثغرة كان يجب عليه الشراء من حسابه ثم يعمل تحويل الدومين إلى حساب المشتري بواسطة رقم تعريف الحساب لدى المشتري و هكذا سيحصل على مطبوع بحسابه يثبت عملية الشراء. 

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      11 يوليو 2016

      الخدمة تم تسليمها كما ذكرت، الاتفاق تم في موقع اي خدمة ولكن حجز الدومين تم عن طريق التيم فيور !

      احتمالية تصوير الشاشة مستبعدة لأني ذكرت أن "قام البائع بعملية الشراء بطرقة ذكية بحيث لم يستطع المشتري مشاهدة أرقام البطاقة الائتمانية " بالتالي لا يظهر بأن المشتري تمكن من تصوير الشاشة.

      لديك 1 نقطة مبدئياً لكن اذا توصلت للاجابة الصحيحة سيتم تعديل النقاط

  • HYONICKAL

    HYONICKAL

    نقاط السمعة: 135 تواصل معه
    11 يوليو 2016

    تم كتابة الإجابة و لم تظهر   .....  ؟!

    المرجو من الإدارة وضع الحل النهائي حفاظاً على شفافية المسابقة 

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      11 يوليو 2016

      لا مشكلة ستظهر اجابتك في الترتيب الصحيح عند الموافقة عليها فإذا كانت الأولى سيتم اعطاءك 1.5 نقطة وإذا كانت الاجابة صحيحة سيتم اعطاءك 2 نقطة ..

      اتمنى من ادارة الموقع حل المشكلة في أقرب وقت ..

    • HYONICKAL

      HYONICKAL

      نقاط السمعة: 135 تواصل معه
      11 يوليو 2016

      لقد ظهرت الإجابة فوق يا اخ حازم المرجو مراجعة 

  • اي خدمة

    اي خدمة

    نقاط السمعة: 281 تواصل معه
    11 يوليو 2016

    بالتوفيق ان شاء الله لكل المشاركين و سوف نقوم بمنح جميع المشاركين نقاط شكرا بعدد النقاط التي يتم تجميعها .

    وحظ اوفر للمشاركين 

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      11 يوليو 2016

      شكراً للدعم المميز .. لكن ارجو تمييز صاحب اعلى عدد من النقاط بجائزة اضافية وكذلك المرتبة الثانية والثالثة

       

    • اي خدمة

      اي خدمة

      نقاط السمعة: 281 تواصل معه
      11 يوليو 2016

      سوف يتم ايضا منح صاحب اعلى عدد من النقاط بجائزة اضافية وكذلك المرتبة الثانية والثالثة smile

  • hazem104

    hazem104

    نقاط السمعة: 268 تواصل معه
    11 يوليو 2016

  • azeez1101

    azeez1101

    نقاط السمعة: 73 تواصل معه
    11 يوليو 2016

    جميلة فكرة المسابقة

  • azeez1101

    azeez1101

    نقاط السمعة: 73 تواصل معه
    11 يوليو 2016

    من الممكن أن تكون البطاقة الإئتمانية محفوظة بالحساب فيتم سرقتها

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      11 يوليو 2016

      ربمــا .. سيتم الاعلان عن الاجابة الصحيحة عند اغلاق الحلقة

  • themrlilox

    themrlilox

    نقاط السمعة: 1 تواصل معه
    12 يوليو 2016

    جيد أخي الكريم

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      12 يوليو 2016

      تم اضافة 1 نقطة لديك .. سيتم اضافة مجموع نقاطك لرصيدك بعد انتهاء السلسلة :)

  • mrhassan

    mrhassan

    نقاط السمعة: 79 تواصل معه
    12 يوليو 2016

    بالتوفيق للجميع

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      12 يوليو 2016

      تم اضافة 1 نقطة لديك .. سيتم اضافة مجموع نقاطك لرصيدك بعد انتهاء السلسلة :)

  • TotaNader

    TotaNader

    نقاط السمعة: 122 تواصل معه
    12 يوليو 2016

    اي تعني ان التواصل عبر تيم فيور ليس مخالفا اذا قد تكون الثغرة في انه اذا قم المشتري بالدخول لحسابه في موقع الدومينات وقام بمراجعة مشترياته سيجد اخر 4 ارقام لبطاقة البائع الائتمانية واذا قام بشراء دومين جديد فتظهر له بطاقة البائع الائتمانية ضمن البطاقات التى يمكنه الدفع بها وبما انها مفعلة مسبقا فلن يطلب منه تفعيل جديد لها وبالتالى يستطيع الشراء بها دون ان يشعر البائع وهنا يكون قد تعرض للسرقة فهذا الامر حدث معي شخصيا حين اشتريت دومينات من شخص واعطاني الحساب الذي اشترى لي بيه فقد انشأهه مخصوصا لي وبايميلي ولكنه كان قد فعل الدفع بالفيزا خاصته وحين اردت شراء دومين جديد ظهرت لي بطاقته ضمن البطاقات التى يمكنني الشراء بها كما انها كانت مخزنة على حسابي ضمن طرق الدفع خاصتي على حساب الدومينات ولكني حذفتها ونبهت البائع لذلك لذا بالتأكيد هذه هي الثغرة 

  • TotaNader

    TotaNader

    نقاط السمعة: 122 تواصل معه
    12 يوليو 2016

    اي تعني ان التواصل عبر تيم فيور ليس مخالفا اذا قد تكون الثغرة في انه اذا قم المشتري بالدخول لحسابه في موقع الدومينات وقام بمراجعة مشترياته سيجد اخر 4 ارقام لبطاقة البائع الائتمانية واذا قام بشراء دومين جديد فتظهر له بطاقة البائع الائتمانية ضمن البطاقات التى يمكنه الدفع بها وبما انها مفعلة مسبقا فلن يطلب منه تفعيل جديد لها وبالتالى يستطيع الشراء بها دون ان يشعر البائع وهنا يكون قد تعرض للسر قة فهذا الامر حدث معي شخصيا حين اشتريت دومينات من شخص واعطاني الحساب الذي اشترى لي بيه فقد انشأهه مخصوصا لي وبايميلي ولكنه كان قد فعل الدفع بالفيزا خاصته وحين اردت شراء دومين جديد ظهرت لي بطاقته ضمن البطاقات التى يمكنني الشراء بها كما انها كانت مخزنة على حسابي ضمن طرق الدفع  على حساب الدومينات ولكني حذفتها ونبهت البائع لذلك لذا بالتأكيد هذه هي الثغرة 

  • TotaNader

    TotaNader

    نقاط السمعة: 122 تواصل معه
    12 يوليو 2016

    اي تعني ان التواصل عبر تيم فيور ليس مخالفا اذا قد تكون الثغرة في انه اذا قم المشتري بالدخول لحسابه في موقع الدومينات وقام بمراجعة مشترياته سيجد اخر 4 ارقام لبطاقة البائع الائتمانية واذا قام بشراء دومين جديد فتظهر له بطاقة البائع الائتمانية ضمن البطاقات التى يمكنه الدفع بها وبما انها مفعلة مسبقا فلن يطلب منه تفعيل جديد لها وبالتالى يستطيع الشراء بها دون ان يشعر البائع وهنا يكون قد تعرض للسرقة فهذا الامر حدث معي  حين اشتريت دومينات من شخص واعطاني الحساب الذي اشترى لي بيه فقد انشأهه مخصوصا لي وبايميلي ولكنه كان قد فعل الدفع بالفيزا خاصته وحين اردت شراء دومين جديد ظهرت لي بطاقته ضمن البطاقات التى يمكنني الشراء بها كما انها كانت مخزنة على حسابي ضمن طرق الدفع خاصتي على حساب الدومينات ولكني حذفتها ونبهت البائع لذلك لذا بالتأكيد هذه هي الثغرة 

  • TotaNader

    TotaNader

    نقاط السمعة: 122 تواصل معه
    12 يوليو 2016

    اي تعني ان التواصل عبر تيم فيور ليس مخالفا اذا قد تكون الثغرة في انه اذا قم المشتري بالدخول لحسابه في موقع الدومينات وقام بمراجعة مشترياته سيجد اخر 4 ارقام لبطاقة البائع الائتمانية واذا قام بشراء دومين جديد فتظهر له بطاقة البائع الائتمانية ضمن البطاقات التى يمكنه الدفع بها وبما انها مفعلة مسبقا فلن يطلب منه تفعيل جديد لها وبالتالى يستطيع الشراء بها دون ان يشعر البائع وهنا يكون قد تعرض للسرقة فهذا الامر حدث معي شخصيا حين اشتريت دومينات من شخص واعطاني الحساب الذي اشترى لي بيه فقد انشأهه مخصوصا لي و ببياناتى ولكنه كان قد فعل الدفع بالفيزا خاصته وحين اردت شراء دومين جديد ظهرت لي بطاقته ضمن البطاقات التى يمكنني الشراء بها كما انها كانت مخزنة على حسابي ضمن طرق الدفع خاصتي على حساب الدومينات ولكني حذفتها ونبهت البائع لذلك لذا بالتأكيد هذه هي الثغرة 

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      12 يوليو 2016

      تحليل جيد .. لن أخبرك الآن اذا كانت تلك هي الثغرة المقصودة أو لا لكن ساطرح عليك سؤال .. بما أن أرقام البطاقة محفوظة إلا يمكن أن يحذفها البائع من خلال التيم فيور؟ أم سنفترض انه نسي ذلك؟

    • TotaNader

      TotaNader

      نقاط السمعة: 122 تواصل معه
      12 يوليو 2016

      اممممممممم سؤال وجيه ولكن لنفترض انه نسي ذلك ولكن لا عتقد ان المشتري سيسمح له بالدخول الى تلك المنطقة من حسابه حتى لا يرى بطاقاته هو او طرق الدفع التى يستخدمها ولكي يحذفها عليه ان يدخل الى منطقة طرق الدفع او البطاقات الائتمانية المضافة للحساب لذا لا اعتقد المشتري سيسمح له بذلك عبر التيم فيور 

      صحيح هناك نقطة هامة لم انتبه لها وزوجي كان دائما يحظرني منها وهي ان التيم فيور يمكن من خلاله التحكم بكامل اجهاز عن بعد فيمكن لاحد ان يستغله لكعرفة خصوصياتي او سرقة حساباتي فقد تكون الصغرة نفسها في برنامج التيم فيور نفسه صراحة احترت لكن اهذه اقرب الاحتمالات

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      12 يوليو 2016

      لاحظي اني ذكرت معلومة تشير إلى أن المشتري لا يمتلك بطاقة ولم يسبق له الشراء .. ساذكر الاجابة عند إغلاق الحلقة :)

      الثغرة لا تتعلق بالتيم فيور ..

    • TotaNader

      TotaNader

      نقاط السمعة: 122 تواصل معه
      12 يوليو 2016

      embarassedصراحة انا كدة احترت طب ما تغششنيembarassed

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      12 يوليو 2016

      لم اقل ان الاجابة خاطئة ولم أقل انها صحيحة لكن مع ملاحظة أن الاخ azeez1101 سبقك بنفس الاجابة لذا في حال كانت صحيحة فتكون النقطتين لصاحب أول اجابة صحيحة .. انتظري نتيجة الحلقة سيتم توضيح الاجابة بالتفصيل :)

  • TotaNader

    TotaNader

    نقاط السمعة: 122 تواصل معه
    12 يوليو 2016

    smile

  • foufou2003

    foufou2003

    نقاط السمعة: 5 تواصل معه
    12 يوليو 2016

    الثغرة وهي تواصل المشتري بالبائع خارج الموقع الذي تتم فيه الخدمة فقد يتمكن المشتري من ملاحظة ارقام بطاقته الائتمانية وتحدث سرقة لامواله ثانيا حيث تمت عملية التواصل خارج الموقع ولا يوجد ما يؤكد بان البائع قدم الخدمة لان التواصل كان خارج الموقع

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      12 يوليو 2016

      الاتفاق والدفع تم من خلال الموقع لكن حجز الدومين تم بواسطة التيم فيور بناء على طلب المشتري وقد تم حجز الدومين وتم تسليم الطلب إلا أن هناك ثغرة قد يتم استغلالها في احتيال أحد الطرفين على الآخر .. ورد ضمن الموقف الافتراضي أن البائع قام بشراء الدومين دون أن يتمكن المشتري من ملاحظة أرقام البطاقة خلال عملية الحجز !

      لديك 1 نقطة .. شكرا لك

  • hazem104

    hazem104

    نقاط السمعة: 268 تواصل معه
    12 يوليو 2016

    هل لاحظتم التحديث الجديد؟ هناك قسم خاص بالرسائل الإدارية بدلا من قسم التحديثات والمسابقات أيضا تم الغاء صندوق الاقتراحات .. هذا سيجعل الملتقى افضل ننتظر بقية التحديثات :)

  • samoeal

    samoeal

    نقاط السمعة: 22 تواصل معه
    12 يوليو 2016

    الثغره هو ان خدمات الدومينات مخالفه عامه ولم يذكر ان التعامل عبر تيم فيور ليس مخالف

    فيمكن للمشتري ان يراسل الدعم ويطلب منهم ارجاع امواله لانه طلب خدمه مخالفه ولم يكن يعرف

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      12 يوليو 2016

      لا خدمة حجز الدومين في موقع أي خدمة ليست مخالفة .. بالنسبة للتيم فيور كان شرط للمشتري لكي لا يعطي البائع كلمة المرور واسم المستخدم لحسابه وقد يكون ذلك غير مخالف طالما أن التنفيذ والدفع من خلال موقع أي خدمة !

      الفكرة مختلفة قليلاً عن السلسلة السابقة، ليس الهدف ايجاد خطأ بل ايجاد ثغرة لم ينتبه لها المشتري أو ربمــا البائع وقد تتسبب في احتيال عليه ..

      لديك 1 نقطة :)

  • samoeal

    samoeal

    نقاط السمعة: 22 تواصل معه
    12 يوليو 2016

    اذن يمكن للبائع ان يستخدم فيزا مزوره ليشتري بها وينصب علي المشتري وكما قلت في الحلقه انه لم لاحظ الارقام

    فمن الممكن ان يستخدم هذه الطريقه لينصب عليه

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      12 يوليو 2016

      هذا ممكن، في حال استخدام فيزا افتراضية سيتم الحجز لكن بعد أيام سيتم ايقاف الحساب بإنتظار ارسال صورة عن بطاقة الدفع (هذا ما يحدث فعلاً) !

      بعد ذلك قد يتم حذف الدومين من خلال الشركة ..

      قد تكون هذه هي الثغرة وقد تكون ضمن الاجابات السابقة .. لننتظر إعلان نتيجة الحلقة :)

  • TheWorrior

    TheWorrior

    نقاط السمعة: 5 تواصل معه
    12 يوليو 2016

    الأحتمال الأكبر ان يكون البائع يستخدم فيزا كارد افتراضية التى تسمح بأستعمال التخفيضات على الدومينات وتجعل السعر يصل الى 1.17 للدومين

    وهذا احتمال وارد جدا لأن نظام جودادى الجديد يسمح باستخدام الفيزا لمرة واحدة فقط ولا يسمح بها مجددا لذا فالبائع يحتاج لفيزة جديدة كل مرة ليستطيع الحجز باستخدام الكوبونات التخفيضية وهذا بالطبع صعب وليس بالسهل, لذا فيقوم بعض الباعة معدومى الضمير باستخراج فيز افتراضية ليستعملها فى الشراء

    وبهذا يقوم البائع بحجز الدومين واستلام المال من المشترى وبعد عدة ايام تقوم جودادى بتعليق حساب المشترى وارجاع المال مرة أخرى للبائع صاحب الفيزا الافتراضية وبهذا يحصل البائع على فلوس المشترى بهذه الحيلة

     

    أما افتراض ان المشترى سيستغل الفيزا التى تم حفظها كوسيلة مفضلة للبيع فى حسابه بجودادى فليست مرجحة لسببين

    1 - انها لن تمكنه من شراء الدومينات بسعر مخفض بحيث لن يستطيع استخدام الكوبونات لأن الفيزا تم استعمالها مرة سابقة وتم استعمالها بحسابه

    2 - ان البائع يستطيع التحكم فى فيزته ايما بانها مسبقة الدفع فالبائع يشحنها بمبلغ معين كل فنرة على قدر حاجته او ان الفيزا بها نظام تأمين بحيث لا يمكن الشراء بها الا بعد ارسال كود على هاتف البائع بهذا الكود فقط تتم عملية الشراء

    لذا هذا الافتراض ليس مُرجح

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      12 يوليو 2016

      تحليل جيد ومعلومات مهمة لمن يشتري الخدمة .. لكن لو افترضنــا ان البائع استخدم فيزا افتراضية وتم حذف الدومين يمكن للمشتري أن يراسل ادارة الموقع ويطلب إلغاء الطلب واسترجاع أمواله في حال كان الرصيد لا يزال معلق !

      من ناحية ثانية هل يمكن اعتبار استخدام بطاقة دفع افتراضية ثغرة؟ بمعنى آخر هل يمكن للمشتري تجنب هذه الثغرة بطريقة أو بأخرى؟

      لديك نقطة مبدئياً وسأخبرك بالاجابة الصحيحة لاحقاً مع التوضيح ..

       

  • azeez1101

    azeez1101

    نقاط السمعة: 73 تواصل معه
    12 يوليو 2016

    متى تظهر النتائج .. أو كم مدة الحلقة الواحدة

    • hazem104

      hazem104

      نقاط السمعة: 268 تواصل معه
      12 يوليو 2016

      مدة الحلقة 24 - 48 ساعة، نتيجة هذه الحلقة ربمــا اعلن عنهــا في صباح الغد وبنفس ترتيب السلسلة السابقة سيتم اغلاق الحلقة واعلان النتائج ثم يتم نشر الحلقة التالية خلال 24 ساعة من اغلاق الحلقة التي تسبقهــا !

  • hazem104

    hazem104

    نقاط السمعة: 268 تواصل معه
    13 يوليو 2016

    اجابة الحلقة (1):

    الثغرة تتمثل في أن حساب المشتري في جودادي سيحتفظ تلقائياً بأرقام البطاقة الائتمانية، ولا يمكن حذف البطاقة التي أدخلهــا البائع الا إذا تم ادخال رقم بطاقة جديد !

    المشكلة أن المشتري لا يمتلك أي بطاقة لذا ستبقى أرقام بطاقة البائع محفوظة في حساب المشتري وقد يتم تجديد الدومين بشكل تلقائي بعد عام دون علم المشتري ودون علم البائع ..

    أيضاً قد يقوم المشتري بشراء استضافة أو دومين آخر من خلال بطاقة البائع !

    -------------

    بالنسبة لاستخدام بطاقة فيزا افتراضية فمن الممكن أن تكون ثغرة لكن ليست هي الاجابة المطلوبة  ..

    ----------------------------------------------------------

    الحلقة مغلقة ! الاجابات التالية لن تحصل على أي نقاط !

    الحلقة القادمة ستكون بإذن الله، خلال الـ 24 ساعة القادمة :)

  • hazem104

    hazem104

    نقاط السمعة: 268 تواصل معه
    13 يوليو 2016

    توضيح: حدثت معي هذه الثغرة قبل مدة اثناء تجديد دومين لكن لحسن الحظ كان المشتري أحد اصدقائي فتفهم المشكلة وحاول التفكير بحل، بحثت كثيراً إلى أن توصلت لمخرج من المشكلة بفضل الله !

    اعتقد أن الحل حينهـا كان نقل دومينات المشتري لحسابي ثم تمكنت من حذف أرقام بطاقتي من حسابه بعد ذلك أرجعت له الدومينات :)

    --------

     

    الطريقة الصحيحة لتنفيذ الخدمة : ما ذكره الاخ HYONICKAL أن يتم حجز الدومين في حسابه (حساب البائع) ثم نقله لحساب المشتري، أيضاً لو كانت الخدمة تتضمن تجديد دومين فاشترط على المشتري نقل الدومين لحسابك وقم بتجديده ثم ارجعه لحساب المشتري تجنباً لحدوث مشاكل لاحقاً .. 

  • hazem104

    hazem104

    نقاط السمعة: 268 تواصل معه
    13 يوليو 2016

  • HYONICKAL

    HYONICKAL

    نقاط السمعة: 135 تواصل معه
    13 يوليو 2016

    كانت حلقة مفيدة و رائعة ، شكرا  لك اخ حازم و شكرا للجميع
    بانتظار الحلقة الثانية ....

  • اي خدمة

    اي خدمة

    نقاط السمعة: 281 تواصل معه
    13 يوليو 2016

    بالتوفيق و حظ اوفر لمن لم يشارك ؟

  • TotaNader

    TotaNader

    نقاط السمعة: 122 تواصل معه
    14 يوليو 2016

    شكرا اخ حازم صراحة كانت حلقة مثيرة جدا 

العودة إلى ملتقى أي خدمة