Share this page!

Enter Twitter Thread URL to Unroll

Needs to be the full URL like: https://twitter.com/threadreaderapp/status/1644127596119195649

How to get URL link on Twitter App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
Vahid Farid Profile picture
@vahidfarid
Jul 7 10 tweets 4 min read Twitter logo Read on Twitter
Scrolly
پریشب سگارو @iSegaro ازم خواست که کد X-Panel رو نگاه کنم چون گزارشات زیادی از مسدود شدن سرورهای مبتنی بر این ابزار توسط پروایدرها دریافت کرده بودن.
کد رو بررسی کردم و در یک کلام باید بگم به لحاظ امنیتی «افتضاحه».

در ادامه حداقل دلایل رو نوشتم:

۱/۸
github.com/Alirezad07/X-P…
این کد توسط php و با الگو گرفتن از مدل MVC نوشته شده ولی حداقل‌های امنیتی این مدل و جداسازی‌ها در این کد رعایت نشده.
تمام کدها در روت وب‌سرور قابل دسترسی هستن، در حالی که تو مدل MVC، کدها باید در سطحی بالاتر از وب سرور باشن و قابل دسترسی توسط وب‌سرور نباشن.
۲/۸
در اسکریپت نصب این ابزار، تمام فایل‌های کانفیگ پنل وب و کتابخانه‌ها با دسترسی خواندن/نوشتن همگانی روی وب سرور قرار گرفتن، واقعیتش تا امروز چنین کار خطرناکی رو هیچ‌جا ندیده بودم، اینا حداقل‌های امنیت هستن.
دسترسی ۷۷۷ به فایل‌های حیاتی روی وب سرور، فاجعه‌اس.
۳/۸
علاده بر این، خود کد، برای یوزر وب‌سرور writable هست، این خودش یک فاجعه‌ی امنیتی دیگه هستش. به هر دلیلی کنترل کد دست هکر بیوفته، که در ادامه میگم خیلی هم پیچیده نیست، قشنگ میتونن کل کد رو بازنویسی کنن، هر کاری دلشون خواست انجام بدن، از جمله همین DDoS.
۴/۸
فایل کانفیگ پنل که حاوی نام کاربری و پسورد ادمین دیتابیس هست، به صورت Clear-text قشنگ روی وب سرور پابلیش شده :/
۵/۸
و اینکه این کد اصلا در مقابل SQL Injection محافظت نشده، باید بگم برام باور کردنی نبود، هنوز هم نمیدونم چرا کد تا این حد نا امن نوشته شده و تقریبا در مقابل هیچ آسیب‌پذیری شناخته‌شده‌ای محافظت نشده. نام کاربری و پسورد گرفته شده از کاربر به صورت مستقیم تبدیل به SQL شده، سم خالص.
۶/۸

اونقدر این آسیب‌پذیری‌های امنیتی زیاد و بولد بود که دیگه نیاز به ورود به جزئیات نداشت اصلا.
نسخه‌ی php استفاده شده هم ۷.۴ هست که خودش اصلا امن نیست، نزدیک به یک‌سال هست که پچ امنیتی دریافت نکرده و عمرش به پایان رسیده.
۷/۸
اگه از این کد استفاده کردید، اکیدا توصیه می‌کنم همین الان کد رو پاک کنید و تمام پسوردها رو تغییر بدید.
نمیخوام زحمتی که توسعه دهندگانش کشیدن رو زیر سوال ببرم ولی واقعا این کد ایرادات زیرساختی داره و اصلا قابل اصلاح نیست، تنها راهش بازنویسی کد با رعایت معیارهای امنیته.
۸/۸
طریقه‌ی حذف X-Panel رو نوشتم، تعلل نکنید. تو کانال تلگرامم هم میتونید دستورات رو ساده کپی کنید:


https://t.co/eYvGzevuSBt.me/vahidgeek/129

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Vahid Farid

Vahid Farid Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @vahidfarid

Vahid Farid Profile picture
May 22
ویدیو آموزش خرید سرور لینوکس و ایجاد VPN به روش SSH با حداقل دانش فنی رو میتونید تو کانال یوتیوبم ببینید.
من سرور رو از ایران خریدم ولی شما اگه میتونید با کریپتو یا دبیت خرید کنید، حتما از خارج کشور بخرید، چون ارزونتره.
امیدوارم براتون مفید باشه.

این روش ریسک پایین فیلتر شدن آی‌پی رو داره، همونطور که تو ویدیو گفتم با تعداد پایین وصل بشید، دو نفر سه نفر. حالا اگه آی‌پی‌تون بن شد نیاید سراغ من، ولی واقعا خودم تاحالا با این روش سرورم مسدود نشده.

تو ویدیو میبینید که من اصلا به لاگین نکردم، فقط با اطلاعات فروشنده متصل شدم.
دیگه ببخشید من ادیت ویدیو و خوشگل کردن landing و اینها رو بلد نیستم، اون قسمتاشو تحمل کنید :)
Read 8 tweets
Vahid Farid Profile picture
Apr 28
کد ورکر رو با تغییر الگوریتم، اضافه کردن پشتیبانی از vless و تروجان و همینطور رفع مشکل کاراکترهای زبان فارسی و چینی (utf8)، آپدیت کردم.
نام کتابخانه‌ی منبع هر کانفیگ در ابتدای نام کانفیگ قید شده.
لینک کتابخانه:
github.com/vfarid/v2ray-w…
دریافت اسکریپت:
github.com/vfarid/v2ray-w…

۱/۵
کدش نسبت به قبل خیلی تفاوت کرده، ولی شما فقط کد رو دانلود کنید و داخل بخش مربوطه تو ورکر ذخیره کنید و تمام.
بعد از ذخیره، دیگه اون خطای ۵۰۲ رو دریافت نمی‌کنید و به جاش، راهنمای ورکر براتون نمایش داده میشه.
مطابق راهنما لینک ساب رو کپی کنید و به اپ خودتون اضافه کنید.
۲/۵ Image
همونطور که در راهنمای بالا می‌بینید، امکان تعیین تعداد کانفیگ، استفاده از کانفیگ‌های اصلی به عنوان پارامتر در ادرس ورکر اورده شده و همینطور اضافه کردن همزمان چندین آی‌پی و سابدامین آی‌پی تمیز هم به قابلیت‌های ورکر اضافه شده.
۳/۵
Read 6 tweets
Vahid Farid Profile picture
Mar 30
۲ تا نظرسنجی برای یک سوال ساده گذاشتم، یه اپ که تمام کارش در سمت کلاینت داره انجام میشه و آفلاینه.
حدود ۱۰ درصد گفتن "فرانت برنامه‌نویس نیست"، من مشخصا خواستم سوال جدی و با تحقیق پاسخ داده بشه. این قطعا پاسخ سوال نیست و مشخصه این عده نخواستن به سوال پاسخ بدن.
۱/۹
#برنامه_نویسی
پس این بخش رو نادیده می‌گیرم و امیدوارم در آینده این نوع پاسخ‌ها کم بشه.
در نظرسنجی اول ۳۰ درصد گفتن که پروسس با بک انجام میشه و وقتی سوال رو شفاف‌تر کردم، این میزان تقریبا نصف شد.
حالا میخوام جواب سوال رو بدم، بر اساس تعاریف حوزه‌های برنامه‌نویسی.
۲/۹
واقعیت اینه که در حوزه‌ی وب و اپ، تفکیک فرانت و بک خیلی پیچیده نیست. بر خلاف تصوری که در منشن‌ها دیدم و در نتایج میشه دید، هر کدی که عملیاتی باشه یا به تعبیری "پیچیده" باشه در دسته بندی بک قرار نمیگیره، مشخصا ابزارهای توسعه‌ی فرانت و بک با هم فرق دارن.
۳/۹
Read 9 tweets
Vahid Farid Profile picture
Mar 30
کد اسکنر آی‌پی تمیز #کلادفلر رو آپدیت کردم:
- تغییر روش محاسبه‌ی تاخیر
- اندازه گیری پینگ و امکان تعیین حداکثر پینگ
- محاسبه زمان latency و نمایش در جدول
- رفع مشکل گیرکردن روی برخی آ‌ی‌پی‌ها

اسکریپت جدید رو از همون کتابخانه‌ی قبلی و با همون روش‌های آموزش داده شده، اجرا کنید. 🌱
لینک کتابخانه در گیت‌هاب:
github.com/vfarid/cf-ip-s…

لینک دانلود نسخه‌ی ۱.۱:
github.com/vfarid/cf-ip-s…

از روی توییتی که کوت کردم میتونید فیلم‌های آموزشی مرتبط رو پیدا کنید، برای تمام پلتفرم‌ها.
یادم رفت بگم، برای پینگ، باید کتابخونه‌ی مرتبطش به پایتون اضافه بشه. این دستور رو اجرا کنید:

روی ویندوز:
py -m pip install ping3

روی سایر پلتفرم ها:
python -m pip install ping3
Read 4 tweets
Vahid Farid Profile picture
Mar 28
اسکریپت اسکنر آی‌پی تمیز #کلادفلر رو با پایتون نوشتم، به همراه آخرین رنج آی‌پی‌های شبکه‌ی کلادفلر.
بعد از اتمام جستجو هم در صورت تمایل، نتایج رو براتون روی سابدامین دلخواهتون در کلادفلر بارگزاری می‌کنه.

لینک کد در گیت‌هاب:
github.com/vfarid/cf-ip-s…

۱/۴
برای اجرا ابتدا در ترمینال مک پایتون رو نصب کنید:
brew install python
بعد پکیج requests رو با pip نصب کنید:
pip install requests

ویدیوی آموزشی کامل رو اینجا ببینید:


نحوه نصب و اجرا روی ویندوز و اندروید رو هم در ادامه گفتم.
۲/۴
روی ویندوز، پایتون رو از سایت خودش متناسب با نسخه‌ی ویندوزتون دانلود و نصب کنید و بعد از نصب، پکیج requests رو مطابق ویدیو نصب کنید:
py -m pip install requests

و بعد اسکریپت رو از روی فولدر خودش اجرا کنید.

ویدیوی آموزشی ویندوز رو اینجا ببینید:

۳/۴
Read 6 tweets
Vahid Farid Profile picture
Mar 24
امروز میخوام یه داستان بگم برای کسانی که میخوان vpn یا کانفیگ خودشون رو درست کنن و نمیدونن از کجا شروع کنن؟

اول بگم اپکه ما دو تا حوزه‌ی کلی داریم اینجا:
۱. کانفیگ‌های رایگان (ادامه)
۲. سرور و کانفیگ شخصی (از توییت ۱۱)

داستان جفتشونو میگم:
۱/۱۴
** روش‌های رایگان:

یه سری سایت‌هایی تو دنیا هستن که به رایگان به شما کانفیگ v2ray میدن. مثل getafreenode و freevmess که خب طبیعتا از اول تا آخرشون فیلتره.
راهکار استفاده از این کانفیگ‌ها چیه؟ همین شخصیت محبوب این روزها: #ورکر
۲/۱۴
خود getafreenode.com بعد از کاری که ما انجام دادیم، ورکر مخصوص خودش رو معرفی کرد و تو سایتش گذاشت، خواستید از سایت خودش ببینید، فارسیه. من ولی برای استفاده از ورکر سه روش کد مختلف نوشتم که میتونید استفاده کنید/ایده بگیرید.
این روش‌ها رو مختصر همراه تفاوت‌هاشون میگم:
۳/۱۴
Read 14 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

Send Email!

:(