WHMCS, waspadalah ...


Status
Not open for further replies.
indonic said:
iya bener file submitticket.php di WHMCS bermasalah, ada temen saya yang jago detect lubang security, mendeteksi bahwa file tersebut bisa query mysql dengan menggunakan script python dari luar dan mengambil session id PHPSESSID WHMCS... dan di anjurkan oleh teman saya tersebut untuk di remove file tersebut untuk keamanan, jadi kirim tiket manual lewat email saja...:(

DAMN...Padahal sudah pake SSL tetap bisa nembus jg...:(
Click to expand...

SSL gak bisa berfungsi sebagai patch security, itu fungsinya cuma mengamankan koneksi agar tidak di phising dari pihak ketiga pada saat proses transaksi data dari user ke server.
 
voezie said:
SSL gak bisa berfungsi sebagai patch security, itu fungsinya cuma mengamankan koneksi agar tidak di phising dari pihak ketiga pada saat proses transaksi data dari user ke server.
Click to expand...

tetap aja kemungkinan bisa kena phising, apabila PHPSESSID di WHMCS bisa di ambil...gimana ya cara disable PHPSESSID di WHMCS? untungnya transaksi payment di lempar langsung ke gateway merchant semacam PayPal,dan tidak ada proses capture credit card dari WHMCS...:D
 
indonic said:
tetap aja kemungkinan bisa kena phising, apabila PHPSESSID di WHMCS bisa di ambil...gimana ya cara disable PHPSESSID di WHMCS? untungnya transaksi payment di lempar langsung ke gateway merchant semacam PayPal,dan tidak ada proses capture credit card dari WHMCS...:D
Click to expand...

phpsessid untuk token antar page itu kah?
kalau di disable, apa mungkin website yang ada sistem loginnya tidak pakai Session
 
indonic said:
sudah dapat di atasi dengan cara ini:

yg iseng kirim tiket support dalam evalbase akan keblock oleh 500 Internal Server Error
Click to expand...

nice share Tuan...
 
Status
Not open for further replies.
Back
Top