Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
Vahid Farid Profile picture
@vahidfarid
Jul 7, 2023 10 tweets 4 min read Read on X
Scrolly
پریشب سگارو @iSegaro ازم خواست که کد X-Panel رو نگاه کنم چون گزارشات زیادی از مسدود شدن سرورهای مبتنی بر این ابزار توسط پروایدرها دریافت کرده بودن.
کد رو بررسی کردم و در یک کلام باید بگم به لحاظ امنیتی «افتضاحه».

در ادامه حداقل دلایل رو نوشتم:

۱/۸
github.com/Alirezad07/X-P…
این کد توسط php و با الگو گرفتن از مدل MVC نوشته شده ولی حداقل‌های امنیتی این مدل و جداسازی‌ها در این کد رعایت نشده.
تمام کدها در روت وب‌سرور قابل دسترسی هستن، در حالی که تو مدل MVC، کدها باید در سطحی بالاتر از وب سرور باشن و قابل دسترسی توسط وب‌سرور نباشن.
۲/۸
در اسکریپت نصب این ابزار، تمام فایل‌های کانفیگ پنل وب و کتابخانه‌ها با دسترسی خواندن/نوشتن همگانی روی وب سرور قرار گرفتن، واقعیتش تا امروز چنین کار خطرناکی رو هیچ‌جا ندیده بودم، اینا حداقل‌های امنیت هستن.
دسترسی ۷۷۷ به فایل‌های حیاتی روی وب سرور، فاجعه‌اس.
۳/۸
علاده بر این، خود کد، برای یوزر وب‌سرور writable هست، این خودش یک فاجعه‌ی امنیتی دیگه هستش. به هر دلیلی کنترل کد دست هکر بیوفته، که در ادامه میگم خیلی هم پیچیده نیست، قشنگ میتونن کل کد رو بازنویسی کنن، هر کاری دلشون خواست انجام بدن، از جمله همین DDoS.
۴/۸
فایل کانفیگ پنل که حاوی نام کاربری و پسورد ادمین دیتابیس هست، به صورت Clear-text قشنگ روی وب سرور پابلیش شده :/
۵/۸
و اینکه این کد اصلا در مقابل SQL Injection محافظت نشده، باید بگم برام باور کردنی نبود، هنوز هم نمیدونم چرا کد تا این حد نا امن نوشته شده و تقریبا در مقابل هیچ آسیب‌پذیری شناخته‌شده‌ای محافظت نشده. نام کاربری و پسورد گرفته شده از کاربر به صورت مستقیم تبدیل به SQL شده، سم خالص.
۶/۸

اونقدر این آسیب‌پذیری‌های امنیتی زیاد و بولد بود که دیگه نیاز به ورود به جزئیات نداشت اصلا.
نسخه‌ی php استفاده شده هم ۷.۴ هست که خودش اصلا امن نیست، نزدیک به یک‌سال هست که پچ امنیتی دریافت نکرده و عمرش به پایان رسیده.
۷/۸
اگه از این کد استفاده کردید، اکیدا توصیه می‌کنم همین الان کد رو پاک کنید و تمام پسوردها رو تغییر بدید.
نمیخوام زحمتی که توسعه دهندگانش کشیدن رو زیر سوال ببرم ولی واقعا این کد ایرادات زیرساختی داره و اصلا قابل اصلاح نیست، تنها راهش بازنویسی کد با رعایت معیارهای امنیته.
۸/۸
طریقه‌ی حذف X-Panel رو نوشتم، تعلل نکنید. تو کانال تلگرامم هم میتونید دستورات رو ساده کپی کنید:


https://t.co/eYvGzevuSBt.me/vahidgeek/129

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Vahid Farid

Vahid Farid Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @vahidfarid

Vahid Farid Profile picture
Jul 4
چون خیلی اطلاعات غلط و نگرانی‌ها در مورد واتس‌اپ زیاد شده این روزها، یه توضیح مختصری در مورد امنیت واتس‌اپ بدم.
خلاصه‌اش اینه که برای کاربر هیچ مشکلی نداره، پیام‌ها کاملا امن تبادل میشن و واتس‌اپ به محتوای تبادل شده دسترسی نداره.
۱/۱۲ Image
واتس‌اپ برای تمام پیام‌های متنی و چندرسانه‌ای در چت‌های خصوصی و گروه‌ها و برای تمام تماس‌های صوتی و تصویری از رمزنگاری E2E استفاده می‌کنه، پروتکل رمزنگاری هم امن‌ترین روش حال حاضر هست که شرکت سیگنال طراحی کرده؛ در واقع واتس‌اپ از Signal Protocol برای E2EE استفاده میکنه.
۲/۱۲
رمزنگاری E2E تضمین میکنه که اطلاعات تحت هیچ شرایطی برای پلتفرم یا هر واسط دیگری قابل شنود نیست و تنها گیرندگان امکان رمزگشایی پیام‌ها رو دارن.
پروتکل سیگنال از ترکیب الگوریتم‌های رمزنگاری کلید عمومی، رمزنگاری متقارن و مکانیزم‌ Double Ratchet استفاده میکنه.
۳/۱۲
Read 12 tweets
Vahid Farid Profile picture
Mar 12, 2024
چون در مورد #فرگمنت کمتر صحبت شده و دوستان زیادی نمیدونن چطور استفاده کنن یه داستان بگم براش، یه مدته داستان نگفتم :)

ما وقتی درخواست HTTPS/WSS میفرستیم سمت سرور، کل اطلاعات با پروتکل TLS رمزنگاری میشه و بین راه قابل مشاهده نیست در نتیجه هکر/فیلترچی نمیتونه ببینه چه خبره.👇
۱/۱۰
اما اینجا یه مشکلی وجود داره! زمانی که پای CDN/Reverse Proxy میاد وسط تا از سرور ما محافظت کنه، لازمه که نام دامین مقصد رو بدونه تا تشخیص بده درخواست رو چطور هدایت/رمزگشایی کنه. اینجا مفهومی اضافه میشه به اسم SNI که همون نام دامین ماست.
۲/۱۰
روش کار اینطوریه که قبل از ارسال درخواست اصلی که رمزنگاری شده، یک بسته به سمت مقصد ارسال میشه که مشخص میکنه بسته‌ی رمزنگاری شده مربوط به کدوم دامینه.
این بسته tlshello نامگذاری شده و حاوی نام دامنه‌ی ماست. بعد از این بسته، درخواست رمزنگاری شده‌ی اصلی ارسال میشه.
۳/۱۰
Read 10 tweets
Vahid Farid Profile picture
Dec 28, 2023
چون در مورد امنیت #وارپ اخیرا حاشیه‌ها زیاد شده تصمیم گرفتم چند تا تست واقعی بگیرم بلکه خیال همگی راحت بشه.
زمانی که وارپ روی دستگاه شما فعال میشه، کلادفلر بر اساس آی‌پی شما که بیانگر موقیت جغرافیایی شماست، یک آی‌پی از رنج آی‌پی‌های متنوعی که داره به شما اختصاص میده.
۱/۷ Image
وقتی از ایران به وارپ وصل میشید، اگه آی‌پی رو بررسی کنید میبینید که کلادفلر یک آی‌پی از ایران به شما داده. حالا اینکه کلادفلر این رنج آی‌پی ایران رو از کجا آورده وقتی دفتری در ایران نداره، یه بحث مجزاس ولی واقعا لوکیشن آی‌پی کلادفلر وسط تهرانه و همین موضوع باعث نگرانی شده.
۲/۷ Image
در تصویر بالا می‌بینید که ISP کلادفلره و جای نگرانی نداره اصلا. طبیعتا به همین دلیل سرویس‌های تحریمی موقعیت شما رو ایران میبینن و عمدتا دسترسی به سرویس رو مسدود میکنن.
اما بحث دیگه‌ای که هست اینه که وقتی سایتی پشت cdn کلادفلر باشه، کلادفلر آی‌پی مبدا رو تحویلش میده.
۳/۷
Read 7 tweets
Vahid Farid Profile picture
May 22, 2023
ویدیو آموزش خرید سرور لینوکس و ایجاد VPN به روش SSH با حداقل دانش فنی رو میتونید تو کانال یوتیوبم ببینید.
من سرور رو از ایران خریدم ولی شما اگه میتونید با کریپتو یا دبیت خرید کنید، حتما از خارج کشور بخرید، چون ارزونتره.
امیدوارم براتون مفید باشه.

این روش ریسک پایین فیلتر شدن آی‌پی رو داره، همونطور که تو ویدیو گفتم با تعداد پایین وصل بشید، دو نفر سه نفر. حالا اگه آی‌پی‌تون بن شد نیاید سراغ من، ولی واقعا خودم تاحالا با این روش سرورم مسدود نشده.

تو ویدیو میبینید که من اصلا به لاگین نکردم، فقط با اطلاعات فروشنده متصل شدم.
دیگه ببخشید من ادیت ویدیو و خوشگل کردن landing و اینها رو بلد نیستم، اون قسمتاشو تحمل کنید :)
Read 8 tweets
Vahid Farid Profile picture
May 9, 2023
کد آپدیت شده‌ی ورکر تولید ساب برای کلاینت‌های v2ray رو آپدیت کردم و میتونید از روی گیت‌هاب نسخه‌ی ۱.۷ رو دریافت و روی ورکرهاتون جایگزین کنید.

لینک کتابخانه:


لینک دریافت اسکریپت:


توضیحات کامل داخل کتابخانه هست.

۱/۵github.com/vfarid/v2ray-w…
raw.githubusercontent.com/vfarid/v2ray-w…
تو این نسخه علاوه بر امکانات نسخه‌ی قبل، امکان ارسال متغیرهای alpn و fp هم به پارامترها اضافه شده.
همینطور میتونید لیست پرووایدرها رو با پارامتر provider در url محدود کنید.
تو صفحه اول کتابخانه تمام موارد رو کامل نوشتم.

۲/۵
اگه لینک ورکرتون رو بدون sub بزنید، راهنمای فارسی رو روی صفحه‌ی ورکر خودتون با مثال‌های واقعی از لینک خودتون میاره.
با توجه به اینکه مطمئن شدم کانفیگ‌های tcp در ترکیب با ورکر کار نمیکنن، اونها رو حذف کردم.

۳/۵
Read 8 tweets
Vahid Farid Profile picture
Apr 28, 2023
کد ورکر رو با تغییر الگوریتم، اضافه کردن پشتیبانی از vless و تروجان و همینطور رفع مشکل کاراکترهای زبان فارسی و چینی (utf8)، آپدیت کردم.
نام کتابخانه‌ی منبع هر کانفیگ در ابتدای نام کانفیگ قید شده.
لینک کتابخانه:
github.com/vfarid/v2ray-w…
دریافت اسکریپت:
github.com/vfarid/v2ray-w…

۱/۵
کدش نسبت به قبل خیلی تفاوت کرده، ولی شما فقط کد رو دانلود کنید و داخل بخش مربوطه تو ورکر ذخیره کنید و تمام.
بعد از ذخیره، دیگه اون خطای ۵۰۲ رو دریافت نمی‌کنید و به جاش، راهنمای ورکر براتون نمایش داده میشه.
مطابق راهنما لینک ساب رو کپی کنید و به اپ خودتون اضافه کنید.
۲/۵ Image
همونطور که در راهنمای بالا می‌بینید، امکان تعیین تعداد کانفیگ، استفاده از کانفیگ‌های اصلی به عنوان پارامتر در ادرس ورکر اورده شده و همینطور اضافه کردن همزمان چندین آی‌پی و سابدامین آی‌پی تمیز هم به قابلیت‌های ورکر اضافه شده.
۳/۵
Read 6 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

Send Email!

:(