Entity – Attribute – Value table

Entity – Attribute – Value table (EAV: Phần tử – Thuộc tính- Bảng giá trị)

 Lý tưởng thì một bảng sẽ thể hiện một bộ các phần tử, mỗi phần tử của bảng có một bộ các thuộc tính được thể hiện qua các cột. Đôi khi, các nhà thiết kế có thể bị cuốn vào một thế giới “mô hình” (paradigms) lập trình thay thế và cố gắng thiết lập chúng. Một mô hình như thế được gọi là mô hình Phần tử – Thuộc tính – Giá trị (hoặc trong một số ngữ cảnh gọi là object-attribute-model), đó cũng là tên thường gọi cho một bảng có 3 cột, một cột đại diện cho kiểu dữ liệu của phần tử, một cột dành cho thông số hoặc thuộc tính hay tính chất của phần tử đó và cột thứ ba là giá trị thực tế của tính chất đó.

Hãy xem qua ví dụ bên dưới về một bảng ghi lại những dữ liệu của nhân viên:

Hình 7

Lúc này phương pháp EAV đảo lộn các dữ liệu nhằm thể hiện các thuộc tính dưới dạng các giá trị ở một cột và các giá trị tương ứng với các thuộc tính đó nằm ở cột khác.

Hình 8

Tới đây thôi, không cần phải có thêm nhiều bảng, tất cả các dữ liệu đều có thể được để chung vào một bảng duy nhất. Phát minh này được biết đến nhờ vào vai trò của những nhà thiết kế CSDL đơn giản, những người này quyết định rằng khi các yếu tố dữ liệu là vô danh, được nhận biết một phần hoặc khó nhận biết thì tốt nhất là dùng EAV. Vấn đề là những người mới rất chuộng việc áp dụng phương pháp này trong CSDL SQL và hậu quả thường là một mớ hỗn loạn. Thực tế, nhiều người cho rằng thật may mắn khi họ không biết bản chất của dữ liệu.

Thế thì những lợi ích nào được đưa ra đối với EAV? Vâng, chẳng có lợi ích nào cả. Vì các bảng EAV chứa bất cứ kiểu dữ liệu nào nên chúng ta phải cố định dữ liệu ở một vùng giới hạn trong bảng với những cột thích hợp nhằm sử dụng chúng hiệu quả. Trong nhiều trường hợp, có những phần mềm client-side hoặc middleware sẽ ngầm thực hiện việc này, do đó sẽ khiến cho người dùng nhầm tưởng rằng mình đang làm việc với dữ liệu được thiết kế tốt.

Mô hình EAV có một hệ thống các vấn đề.

• Đầu tiên, lượng dữ liệu lớn không thể kiểm soát chính nó được.
• Thứ hai, không có cách khả thi nào để xác định những ràng buộc cần thiết – bất cứ ràng buộc kiểm tra tiềm năng nào cũng sẽ phải bao gồm việc tạo ra mã cứng trên diện rộng cho các tên thuộc tính thích hợp. Chính vì một cột đơn lẻ chứa tất cả các giá trị có thể nên kiểu dữ liệu thường là VARCHAR(n).
• Thứ ba, đừng bao giờ nghĩ về chuyện có những khóa ngoại hữu dụng.
• Thứ tư, truy vấn (query) luôn có những phức tạp và rắc rối. Một số người cho rằng sẽ có lợi khi có thể chèn nhiều dữ liệu vào cùng một bảng khi cần thiết – họ gọi đó là tính “có khả năng thay đổi”. Trong thực tế, vì EAV trộn lẫn dữ liệu và lý lịch dữ liệu nên càng khó hơn để điều khiển dữ liệu ngay cả trong những yêu cầu đơn giản. Hãy xem xét một truy vấn đơn giản để gọi ra những nhân viên sinh sau năm 1950. Với mô hình truyền thống, ta có:

Trong một mô hình EAV, đây là một cách để viết một truy vấn có thể so sánh được:

List 1

Với những ai có kinh nghiệm với transact-SQL thì cứ thêm vài cột mới vào kèm theo các kiểu dữ liệu khác và thử vài truy vấn để kiểm tra kết quả.

Giải pháp cho cơn ác mộng EAV thì lại khá đơn giản: Phân tích và nghiên cứu xem nhu cầu của người dùng là gì và xác định yêu cầu dữ liệu một cách cởi mở.  Một CSDL quan hệ sẽ duy trì tính toàn vẹn và nhất quán của dữ liệu  Gần như là bất khả thi để tạo ra một trường hợp (case) thiết kế một CSDL như thế mà không có yêu cầu đã được xác định cẩn thận

Read More

API Get Token Facebook Full Quyền Không Checkpoint 99%

Hôm nay vô tình mò được đoạn API get token mới, giảm tỉ lệ Checkpoint và rất dễ sử dụng. Chỉ cần nhập Username và Password là nó sẽ show ra Access_Token cho bạn.

Cách sử dụng API này

Để giảm thiểu khả năng Checkpoint và tăng độ bảo mật tôi khuyên các bạn nên dùng mật khẩu ứng dụng.

Để tạo mật khẩu ứng dụng truy cập vào Link này: https://www.facebook.com/settings?tab=security&section=per_app_passwords&view
Sau đó lấy mật khẩu đó để lấy Access_Token từ API dưới đây.

https://b-graph.facebook.com/auth/login?email={taikhoan}&password={matkhau}&access_token=6628568379|c1e620fa708a1d5696fb991c1bde5662&method=post

Ví dụ: tài khoản: siben@gmail.com và mật khẩu ứng dụng: ISH434iJ thì API sẽ như sau.

https://b-graph.facebook.com/auth/login?email=siben@gmail.com&password=ISH434iJ&access_token=6628568379|c1e620fa708a1d5696fb991c1bde5662&method=post

Sau đi truy cập vào API bạn đã tạo ra sẽ có dạng như sau.

{
"session_key": "5.X3fQR_y43vEg55110267-1536501797",
"uid": 1536501797,
"secret": "2e92d9e1855334044465a5fc6b32a",
"access_token": "EAAAAAYsX7TsBAIfpLu5DzPld7e0Gj3hYZBN9k0AwjmoZCOtwZA4avQjBugGsQ1iEAOlHdPqUFvZAUPC0zzHN517ZB0fx9HY281WFAHnjL22De3gtAzwhD3AoUfu62yAA37D7uV97JpvosCO99vQuaUJ3pqNii2m4QZCjvyOdkBhNqzYYaNiJ9NydR5SzxEYMrUYw",
"machine_id": "1_JzXAOnIps1I-nsFw",
"confirmed": true,
"identifier": "1536501797"
}

Trong đó "access_token": "EAAAAAYsX7TsBAIfpLu... thì EAAAAAYsX7TsBAIfpLu... sẽ là Token của bạn nhé.

Read More

Hướng dẫn mở khóa tài khoản Facebook ( FAQ Danh Tính)

Hướng dẫn mở khóa tài khoản Facebook ( FAQ Danh Tính)

Việc đầu tiên là các bạn cần kiếm 1 cmnd, để gửi cho Fakebook. 
Các bạn có thể nhờ bạn bè, hoặc cmnd thật càng tốt. Hoặc có thể lấy PSD Tại Đây sau đó tự edit giống thông tin cá nhân của bạn. Lưu ý là giống thông tin cá nhân.

Sau đó các bạn truy cập vào link này: https://www.facebook.com/help/contact/319547548123767

Sau khi gửi cho Facebook bạn sẽ đc 1 mail rep về với nội dung v.v.v

Hãy Rep mail đó như sau:

Tôi nghỉ đây là nhầm lẫn, tôi có giấy tờ do chinh phủ cấp

Họ và tên: ( Trùng cmnd và Facebook) ….

Năm sinh: … ( Trùng luôn)

Link Facebook: …. (bạn nào không nhớ hay không biết có thể bỏ qua)

Email đăng ký: ……

Cảm ơn đội ngũ Facebook.

Thế thôi đơn giàn vậy thôi thật ra các bác không chịu khó mày mò càng ngày fb bảo mật càng cao nên phải động não lên unl được hay ko là tùy thuộc ở các bạn 

Read More

Hướng Đẫn Viết STT Bằng Font Chữ Độc và Lạ Trên Facebook

Nhiều khi bạn lướt Facebook thấy bạn bè chia sẻ những status (stt) được viết bằng font chữ lạ hoắc. Bạn thấy đẹp nhưng lại không biết làm thế nào. Có khi hỏi người viết status đó họ lại không nói (vì muốn giữ hàng độc :)). Vậy làm thế nào để viết status Facebook bằng font chữ khác lạ đó.

Hôm nay, StarTuanIt.Net sẽ hướng dẫn các bạn 1 thủ thuật nhỏ để có thể viết những dòng status với font chữ đặc biệt để cho status của bạn trở lên độc đáo và đẹp mắt hơn.

HƯỚNG DẪN VIẾT STATUS FACEBOOK BẰNG FONT CHỮ ĐỘC, LẠ

Để viết được font chữ đẹp cho status Facebook bạn chỉ cần làm theo các bước như sau là OK 

Bước 1: Truy cập vào website symbols-n-emoticons.com sau đó click vào tab Stylish Fontsbạn sẽ thấy như sau:

Bước 3: Sau khi chọn Convert xong ở bước 2 bạn sẽ thấy 1 danh sách status của bạn dưới những font chữ độc đáo khác nhau ở dưới. Việc cần làm bây giờ là bạn hãy chọn font nào mà bạn thích sau đó ấn nút Copy ở bên hoặc bôi đen để chọn và copy.

Bước 4: Sau khi Copy xong bây giờ bạn Paste vào ô status hoặc ô Comment. Và bạn sẽ có được 1 status độc đáo như thế này đây 

Như vậy là xong. Chúc các bạn thực hiện thành công và sẽ có được những dòng status độc đáo với cách viết bằng font chữ đặc biệt này.

Read More

Cách bảo mật Facebook chống RIP

Cách bảo mật Facebook chống RIP (Report)

• Đầu tiên là đổi tất cả thông tin của mình ,phần ngày sinh chọn chỉ mình tôi biết
• Đổi chế độ avt chỉ mình tôi thấy nhé
• Xác nhận email ,số điện thoại và để chúng ở chế độ ẩn hết toàn bộ
• Đặt nhiều tên phụ với biệt danh vào
• Để tên thật
• Tạo một clone kết bạn với nick đang bảo mật rồi thêm vào một thành viên gia đình là clone vừa tạo và để lại anh trai
• Không hack sub hay hack like gì thêm nữa
• Đổi mật khẩu chứa những kí tự đặc biệt như <> ,các chữ in hoa ,số
• Không lưu tài khoản trên trình duyệt mạng
• Tiếp theo tạo 3 clone kết bạn với nick đang bảo mật
• Nick đang bảo mật thì vào Cài đặt —Bảo mật —–Sổ liên lạc đáng tin cậy —rồi thêm 3 nick vừa rồi vào sổ liên lạc
• Cần thiết thì bạn hãy vào phần thông tin nơi bạn đã sống và thêm vào Los Angeles (Los Angeles, California)

Read More

Code F12 – Huỷ Lời Mời Và Xác nhận bạn bè Facebook

Hủy lời mời kết bạn đã gửi đi

1. Truy cập vào: https://m.facebook.com/friends/…
2. Ở giao diện Facebook Bạn Nhấn tổ hợp phím Ctrl + Shift + J hoặt F12 trên bàn phím , và chọn “Console”.
3. Bạn dán Code dưới đây và nhấn enter là xong

javascript:var x=document.getElementsByClassName("_55sr");for(var i=0;i<x.length;i++){if (x[i].innerHTML=='Hủy'){x[i].click();}};

Xác nhận bạn bè facebook

1. Truy cập vào: https://www.facebook.com/reqs.php
2. Ở giao diện Facebook Bạn Nhấn tổ hợp phím Ctrl + Shift + J hoặt F12 trên bàn phím , và chọn “Console”.
3. Bạn dán Code dưới đây và nhấn enter là xong

javascript:for( i = 1;i< document.getElementsByName("actions[accept]").length;i++){document.getElementsByName("actions[accept]")[i].click();}void(0);

Chúc các bạn thành công!

Read More

Code tăng tương tác FB

Tổng Hợp Code F12 Auto Like, Cảm xúc,… tăng tương tác cho FB

Chào các bạn! Bài viết này mình sẽ chia sẻ tổng hợp code f12 giúp tự động kết bạn, like bài viết, bot cảm xúc  tim, haha, phẫn nộ,… cực nhanh chỉ với vài bước đơn giản giúp cho nick facebook của bạn tăng thêm nhiều tương tác.

Tự động like bài viết trên Tường bạn bè, trên dòng thời gian của chính mình, like bài viết trên Fanpage, like bài viết trong Group

Vào tường của mình hoặc bạn bè,… sau đó nhấn phím F12 chuyển sang tab Console và dán đoạn code sau:

javascript:var inputs = document.getElementsByClassName('UFILikeLink _4x9- _4x9_ _48-k');
for(var i=0; i<inputs.length;i+=1) {
inputs[i].click();
}

Lưu ý: Kéo xuống đến đâu thì nó mới autobot đến đó được nhé.
Và không nên sử dụng nhiều trong 1 lúc nhé dễ bị chặn tính năng lắm đó :))

Tự động like Ảnh trong album bạn bè

Vào album của bạn bè sau đó nhấn phím F12 chuyển sang tab Console và dán đoạn code sau:

javascript:var inputs = document.getElementsByClassName('_5glz _53o _53b');
for(var i=0; i<inputs.length;i+=1) {
inputs[i].click();
}

Tự động “thêm bạn bè” theo gợi ý của Facebook

Vào địa chỉ https://www.facebook.com/?sk=ff sau đó nhấn phím F12 chuyển sang tab Console và dán đoạn code sau:

javascript:var inputs = document.getElementsByClassName('_42ft _4jy0 FriendRequestAdd addButton _4jy3 _4jy1 selected _51sy');
for(var i=0; i<inputs.length;i+=1) {
inputs[i].click();
}

Tự động kết bạn với bạn bè của người khác

Vào tường của người đó nhấn vào mục bạn bè sau đó nhấn phím F12 chuyển sang tab Console và dán đoạn code sau:

javascript:var inputs = document.getElementsByClassName('_42ft _4jy0 FriendRequestAdd addButton _4jy3 _4jy1 selected _51sy');
for(var i=0; i<inputs.length;i+=1) {
inputs[i].click();
}

Tự động like theo biểu tượng cảm xúc (yêu thích, haha, wow, buồn, phẫn nộ)

Vào trang cần auto chuyển url www.facebook.com thành m.facebook.com sau đó nhấn phím F12 chuyển sang tab Console và dán đoạn code sau:

Yêu thích

javascript:var inputs = document.getElementsByClassName('_1ekf');
var input2=document.getElementsByClassName('img _mpx img _4s0y');
for(var i=0; i<inputs.length;i+=1) {
inputs[i].click();
for(var j=0; j<inputs.length;j+=1) {
if(j==1){input2[j].click();}}
}

Haha

javascript:var inputs = document.getElementsByClassName('_1ekf');
var input2=document.getElementsByClassName('img _mpx img _4s0y');
for(var i=0; i<inputs.length;i+=1) {
inputs[i].click();
for(var j=0; j<inputs.length;j+=1) {
if(j==3){input2[j].click();}}
}

Wow

javascript:var inputs = document.getElementsByClassName('_1ekf');
var input2=document.getElementsByClassName('img _mpx img _4s0y');
for(var i=0; i<inputs.length;i+=1) {
inputs[i].click();
for(var j=0; j<inputs.length;j+=1) {
if(j==4){input2[j].click();}}
}

Buồn

javascript:var inputs = document.getElementsByClassName('_1ekf');
var input2=document.getElementsByClassName('img _mpx img _4s0y');
for(var i=0; i<inputs.length;i+=1) {
inputs[i].click();
for(var j=0; j<inputs.length;j+=1) {
if(j==5){input2[j].click();}}
}

Phẫn nộ

javascript:var inputs = document.getElementsByClassName('_1ekf');
var input2=document.getElementsByClassName('img _mpx img _4s0y');
for(var i=0; i<inputs.length;i+=1) {
inputs[i].click();
for(var j=0; j<inputs.length;j+=1) {
if(j==6){input2[j].click();}}
}

Tự động tham gia Group

javascript:var inputs = document.getElementsByClassName('_42ft _4jy0 _4jy3 _517h _51sy');
for(var i=0; i<inputs.length;i+=1) {
inputs[i].click();
}

Tự động hủy theo dõi bạn bè mà mình đang theo dõi

Các bạn vào đường dẫn sau: https://www.facebook.com/tên_profile/following.

javascript:var inputs = document.getElementsByClassName('_42ft _4jy0 _5lzl _4jy3 _517h _51sy');
for(var i=0; i<inputs.length;i++) {
inputs[i].click();
}

Read More

Hướng dẫn rip nick facebook đơn giản

Đây là cách rip nick facebook người khác, bạn có thể sử dụng điện thoại để thực hiện điều này một cách dễ dàng và qua đây bạn cũng sẽ biết được cách để phòng chống.
Chỉ áp dụng với những nick facebook bình thường và xida, không áp dụng với fb đã qua xác minh.

Bước 1 :
Đăng nhập vào facebook

Bước 2 :
Vào link này để báo cáo :

https://www.facebook.com/help/contact/209046679279097

Dòng 1 : Dán URL liên kết của tài khoản mình cần report
Dòng 2 : Tên người cần report
Dòng 3 : Chọn 10 năm
Dòng 4 : Dán dòng chữ này vào

The account is too small to use facebook, please delete it to not affect veryone.

Bước 3 :
Truy cập vào wall của nạn nhân rồi báo cáo.

• Đây là tài khoản gải mạo
• Họ đang sử dụng tên không đúng thực tế – rồi chọn dòng thứ 1
• Họ đang mạo danh tôi hoặc người mà tôi biết – chọn dòng thứ 3 rồi nghi tên nó vào rồi chọn cái tên gần giống
• Khôi phục hoặc đóng tài khoản – chọn đóng
• Rồi báo cáo bài viết spam, khiêu dâm các thứ

Chú ý sử dụng càng nhiều tài khoản tỉ lệ thành công càng cao hay nhờ những người bạn càng tốt, các tài khoản nếu đăng nhập những địa chỉ khác nhau thì càng tốt.

Read More

Đổi Tên Facebook 1 chữ 2019

Read More

Các lỗi bảo mật cơ bản mà các developer hay gặp

Mở bài

Chào các thành viên Kipalog :D

Mình không biết viết văn, nên câu chữ lủng củng, mong mọi người hiểu được =))

Mục đích bài viết này là chia sẻ đến các Developer (Dev), đặc biệt là các bạn Dev ít kinh nghiệm về vấn để bảo mật cho ứng dụng web.

Kiến thức mình có hạn, nên không nói sâu được, nên mình xin được chia sẻ những kiến thức mình có về các lỗi cơ bản mà rất hay gặp mà các Dev gần như sẽ gặp trong kiếp Coder của mình :D
Mình sẽ không giải thích dài dòng, các bạn chủ động hỏi thằng bạn thân Google để tìm hiểu thêm

Link cho các bạn tham khảo, các bài viết chi tiết và đầy đủ về từng phần
https://kipalog.com/posts/Gioi-thieu-Ebook-tu-viet--Bao-Mat-Nhap-Mon---Bao-Mat-Co-Ban-cho-Developer
https://kipalog.com/posts/Bao-mat-co-ban---Gioi-thieu-ve-SQL-Injection
https://kipalog.com/posts/Lo-hong-bao-mat-Cross-Site-Scripting--XSS--co-gi-nguy-hiem

Lan man xíu

Điều gì ở ứng viên mà mình quan tâm nhất?

Mình thỉnh thoảng có phụ trách tuyển dụng PHP cho nhóm Sản phẩm của công ty. Yếu tố quan trọng nhất cho một ứng viên PHP với mình là gì. Tất nhiên del phải là bảo mật mà là trung thực và chịu khó =)). Nhưng tư duy và tư duy bảo mật là số 2, kiến thức thì học sau

Các điểm chung của các lỗi bảo mật này là gì?

Mình cho là mình tin tưởng về các Input mà client gửi lên (cứ nghĩ input đó là ok rồi). Nên chốt là del bao giờ tin những gì thằng Client gửi lên hết => Phải xử lý input client gửi lên trước khi xử lý việc khác

Thân bài

Các lỗi bảo mật dễ mắc phải

Mình xếp theo mức độ nguy hiểm giảm dần, theo quan điểm cá nhân mình xD

1, SQL Injection

Không phải nói nhiều về cái lỗi thần thánh này, gần như Dev mới 96.69 đều mắc phải nó -_- thậm chí các Dev có kinh nghiệm cũng có thể mắc :D

Lấy ví dụ phần login cho một website nha
- Lỗi xảy ra như thế nào

Câu query bạn mong muốn sẽ là
$sql = "select * from users where username='".$_POST['username']."' and password='".$_POST['password']."'"; // :D
Còn gì tuyệt vời hơn nếu người dùng nhập, ví dụ username là quydo, mật khẩu là matkhauManhVL

Nhưng vấn đề là nhiều thanh niên không thích thế, ví dụ nhập username là quydo' or 1-- - và mật khẩu là nhập linh ta linh tinh đi kadslfjladsjfkldsfjladskfjaskldfjadsklf
Khi đó query mà bạn đang chờ sẽ là

$sql = "select * from users where username='quydo' or 1 limit 1-- - and password='kadslfjladsjfkldsfjladskfjaskldfjadsklf'
Câu query luôn đúng bởi -- - là dùng để kết thúc 1 câu query, như // trong php đó

- Sự nguy hiểm
user chạy ở đây là user connect tới database server (không phải user của web server)

• Thứ nhất là có thể truy xuất gần như là toàn bộ thông tin về cơ sở dữ liệu đang thao thác
  và có thể các database (do grant quyền)
• Thứ hai là có thể query insert, update, drop đến database hiện tại :D ví dụ có thanh niên chạy drop database database_name thì thôi xong (cái này phụ thuộc nhiều yếu tố mới thành công)
• Thứ 3 là có thể upload backdoor (cụ thể là php shell), phải phụ thuộc khá nhiều điều kiện
  user chạy là root (hoặc user có quyền với file), biết được cấu trúc website đang chạy (ví dụ biết được /var/www/domain.com), cái này mà được thì rất nguy hiểm

Thường thì các attacker sẽ tìm phần login admin => login vào admin backend, dựa vào các bug (chủ yếu là upload) để upload backdoor (php shell) lên :D.

2, XSS

Lấy ví dụ phần search cho một website nha
- Lỗi xảy ra như thế nào

Giả sử url trang search là
http://domain.com/search.php?keyword=user_keyword
Và trong trang search.php, và ở trang search.php bạn có dòng
echo "Kết quả tìm kiếm cho từ khóa: ".$_GET['keyword'];
Nếu người dùng nhập keyword bình thường ví dụ: xem phim xxx, maria ozawa gì đó thì ok

Nhưng nếu người dùng thích nhập khác, ví dụ:
Thì lúc load trang search.php?keyword=
1 cái alert bằng javascript sẽ xuất hiện với nội dung "aloxo xss"

- Sự nguy hiểm
Bạn tham khảo đây https://kipalog.com/posts/Lo-hong-bao-mat-Cross-Site-Scripting--XSS--co-gi-nguy-hiem

Thường thì các form input hay bị như thông tin tài khoản, phần bình luận comment :D
Mình cũng bị dính vụ comment lúc mới Dev, có thanh niên làm cái insert 10k có cái alert javascript vào -_-

3, Upload

Lỗi xảy ra như thế nào

Dev không check kiểu file, hoặc chỉ check ở máy client
Ví dụ check kiểu file = javascript trước khi gửi lên là móm, có thể chỉnh sửa js nên bypass được
Code check không chính xác, có thể bypass được, ví dụ dùng cái này là móm ngay
if($FILES['file_field']['type'] == 'jpg') echo "tiếp tục";
Không thay đổi tên, lấy tên theo tên client gửi lên. Người dùng có thể cho tên file là shell.php.jpg, backdoor.php.rar... Có 1 bug mà rất nguy hiểm, dựa vào hàm moveuploaded_file để upload php backdoor lên

link đây http://www.paulosyibelo.com/2015/03/exploiting-php-upload-forms-with-cve.html

4, Insecure Direct Object References

Cái này cũng khá hay gặp, nhất là ở phần API, bạn xem tham khảo của #toidicodedao link mình gửi trên đó, có phần này, rất hay và chi tiết. Hoặc bài của anh Juno_okyo về trang web CGV film đó :D
Hoặc ví dụ mà cái anh gì bên VNsecurity ví dụ về site bán vé online lớn nhất VN tickets gì đó ở Trà đá hacking lần 2

Ví dụ ở cái app đi, sẽ có 1 API /user/transaction/Trans_id để lấy info giao dịch của người dùng
user gọi api, api get thông tin giao dịch có id=Trans_id để trả lại cho user, ok :D
Lỗi ở đây là Dev không kiểm tra cái Trans_id có thuộc về user đó không
Nên có thể thay Trans_id khác, mà API vẫn trả về :D

5, Remote Code Execution

Để chạy được cái này khá nhiều điều kiện, bạn có thể search Google để biết thêm chi tiết

6. Remote file inclusion

Giờ cái này khá hiếm, nếu mà được thì nguy hiểm, khi file include là con backdoor shell

Các lỗi mà bạn không hiểu thì chịu khó Google để tìm hiểu nha. 4 cái đầu là nguy hiểm nhất nên mình có ví dụ cơ bản :D

Mọi người có ý kiến đóng góp gì thì comment để mình fix lại

Văn vẻ lủng củng mọi người thông cảm =))

Read More