StaySafe COVID19 Tracker hacked, Admin access obtained with all user data

[හෙළයෙක්]

meka open source kiyala ubata sure da?
meke public code eka github hari kohe hari tiyanawada?
ehema tiyanawanam nikan code eka balapu gaman mewa mattu wenawa

මම දන්න විදියට මචන් ICTA එකෙන් කරපු කලින් එකත් open source කරේ. ඕක විතරක් නෙවෙයි https://github.com/ICTASL ගොඩක් ඒව. සෝස් එක හයිඩ් වෙන එකෙන් නන් සෙකුරිටි වැඩි වෙන්නෙ නෑ හැබැයි.

 

[Lakshan-Seram]

පොඩි එකෙක් හදලා තියෙන්නේ..

https://staysafe.gov.lk/admin

කියලා ගැහුවම ඇඩ්මින් url එකට යනවා...එකේ තියෙන්නේ password key based form එකක්..secure login එකක් නැහැ..view source ගියාම පේනවා javascript code එක ඇඩ්මින් කෙනෙක් හදන..එකෙන් ඇඩ්මින් කෙනෙක් හදලා storage set කරාම browser එකේ admin එකට යන්න පුළුවන්..

දැන් උන් කරලා තියෙන්නේ https://staysafe.gov.lk/admin එකේ admin කියන folder name එක වෙනස් කරපු එක..අලුත් folder name එක හොයා ගත්තම ආයිමත්

අලුත් trend එකනේ javascript වලින් සේරම කරන එක..පව් උන්....ඕක php වගේ එකකින් කළා නම් මලාට ලොග් වෙන්න බැහැ ඇඩ්මින් එකට..

api me dawas wala project ekak karanawa eke sehena API calls wagayak tiyenawa. math PHP walin karanne security side eka gena hithala. client mata force ekaranawa javascript walin karapan kiyala. monthly euro 40 dena service ekak nisa kela unoth kiyala php ma liyanne lol

 

[Die-hard]

api me dawas wala project ekak karanawa eke sehena API calls wagayak tiyenawa. math PHP walin karanne security side eka gena hithala. client mata force ekaranawa javascript walin karapan kiyala. monthly euro 40 dena service ekak nisa kela unoth kiyala php ma liyanne lol

payment case නම් client මොනවා කිව්වත් server side script language එකකින් api ලියන එක හොදයි...ලංකාවේ ලොකු කොම්පැනි එකකින් ලංකාවේ government එකකට හදපු එකක,payment එකක් කරාම,35 mb java script code එකක් download වෙනකන් payment එක කැරකි කැරකි තියෙනවා...දැන් අඩනවා හදපු විදිය හරි නැහැ කියලා..

 

[Lakshan-Seram]

payment case නම් client මොනවා කිව්වත් server side script language එකකින් api ලියන එක හොදයි...ලංකාවේ ලොකු කොම්පැනි එකකින් ලංකාවේ government එකකට හදපු එකක,payment එකක් කරාම,35 mb java script code එකක් download වෙනකන් payment එක කැරකි කැරකි තියෙනවා...දැන් අඩනවා හදපු විදිය හරි නැහැ කියලා..

sensitive parts tika server side process karala public api calls tika client side ekata denna beluwe. nettam users la 1000 inna products 7000 tiyana system ekaka CURL walin api call karanna giyama server ekata case wei kiyala hithenawa. idea ekak nedda CURL hera?

 

[Mr.Thor]

sensitive parts tika server side process karala public api calls tika client side ekata denna beluwe. nettam users la 1000 inna products 7000 tiyana system ekaka CURL walin api call karanna giyama server ekata case wei kiyala hithenawa. idea ekak nedda CURL hera?

au curl karane?

 

[හෙළයෙක්]

sensitive parts tika server side process karala public api calls tika client side ekata denna beluwe. nettam users la 1000 inna products 7000 tiyana system ekaka CURL walin api call karanna giyama server ekata case wei kiyala hithenawa. idea ekak nedda CURL hera?

සාමාන්්‍ෙන් නන් ඔය විදියට වෙන් කරන එක තමා විදිය. සමහර පබ්ලික් API ඔය විදියට allow කරන්නෙ නැති උනොත් විතරයි සර්වර් යවන්නෙ.

 

[හෙනයා]

blog ekath remove karagena

 

[Lakshan-Seram]

au curl karane?

api eken stock data ganna one ban.

table eke eka wera 100 wage items walin stock data ganna one api eken. 100 times loop eken api call karanna ba patta slow wenawa. denata karanne CURL multi walin api calls tika okkoma karala api result eka database eke records walata match karala display karana eka.

man hithuwe table eka load karala stock data walata client side eken api call karala display karanna. ethakota usersla wedi unata server ekata case ekak na ne. awla tiyenne api key eka ta access ena eka

denata wede wenawa 5 sec walin mata meka speed up karaganna one

 

[Lakshan-Seram]

සාමාන්්‍ෙන් නන් ඔය විදියට වෙන් කරන එක තමා විදිය. සමහර පබ්ලික් API ඔය විදියට allow කරන්නෙ නැති උනොත් විතරයි සර්වර් යවන්නෙ.

me api eke awlak na kalin kare proxy deela server 30 witara call karapu eka

 

[Mr.Thor]

api eken stock data ganna one ban.

table eke eka wera 100 wage items walin stock data ganna one api eken. 100 times loop eken api call karanna ba patta slow wenawa. denata karanne CURL multi walin api calls tika okkoma karala api result eka database eke records walata match karala display karana eka.

man hithuwe table eka load karala stock data walata client side eken api call karala display karanna. ethakota usersla wedi unata server ekata case ekak na ne. awla tiyenne api key eka ta access ena eka

denata wede wenawa 5 sec walin mata meka speed up karaganna one

//users la 1000 inna products 7000 tiyana system ekak

product payload size eka kohmada? payload eke continuously change wenwada?

//table eke eka wera 100 wage items walin stock data ganna one api eken. 100 times loop eken api call karanna ba patta slow wenawa

Ay ban DB ekak use karane nadda? ay loop call karane?

 

[Lakshan-Seram]

//users la 1000 inna products 7000 tiyana system ekak

product payload size eka kohmada? payload eke continuously change wenwada?

//table eke eka wera 100 wage items walin stock data ganna one api eken. 100 times loop eken api call karanna ba patta slow wenawa

Ay ban DB ekak use karane nadda? ay loop call karane?

1. ehema kiyanna ba ban. wenas wenawa

2. db ekak use karanawa. db eke thama primary data tiyenne. db eke tiyena data walin api eken result eka ganna one. hitapan ebay eke product database eka api laga tiyenawa kiyala. den api ganna one den tiyena bid wala data. anna a wage. oka single page ekaka wenawa nam awlak na. muta meka table ekaka pennanna one. table eke pages tiyenawa nam uta 25, 50, 100, all data balaganna search karanna filter karanna oya okkoma karanna one.

oya table ekema bid data th display wenna one. thani page ekak tibba nam awlak na eka api call ekak kiyamu ko metana api calls gana niyamayak na. anna oya wage hutapatayak wenne.

 

[saraprobe]

H

haha let's see if he replies to you

He did and wait and enjoy the time for fking around peoples privacy

 

[හෙළයෙක්]

api eken stock data ganna one ban.

table eke eka wera 100 wage items walin stock data ganna one api eken. 100 times loop eken api call karanna ba patta slow wenawa. denata karanne CURL multi walin api calls tika okkoma karala api result eka database eke records walata match karala display karana eka.

man hithuwe table eka load karala stock data walata client side eken api call karala display karanna. ethakota usersla wedi unata server ekata case ekak na ne. awla tiyenne api key eka ta access ena eka

denata wede wenawa 5 sec walin mata meka speed up karaganna one

මොකද්ද යූස් කරන්නෙ. ස්ටොක් ඩේට වලට වෙනම ප්‍රොටොකෝල් එනව වෙබ් සර්විස් නැතුව එහෙම එකක් තියේ නන් ඒක යූස් කරන්න ලේසියි. FIX api වගේ, දැන් නන් ගොඩක් එව්ව වෙබ්සොක්ට් වලට හරවල තියෙන්නෙ. රියල්ටයිම්ම අප්ඩේට් වෙනව

 

[Lakshan-Seram]

මොකද්ද යූස් කරන්නෙ. ස්ටොක් ඩේට වලට වෙනම ප්‍රොටොකෝල් එනව වෙබ් සර්විස් නැතුව එහෙම එකක් තියේ නන් ඒක යූස් කරන්න ලේසියි. FIX api වගේ, දැන් නන් ගොඩක් එව්ව වෙබ්සොක්ට් වලට හරවල තියෙන්නෙ. රියල්ටයිම්ම අප්ඩේට් වෙනව

stockx unge hari hamap api doc ekak wath na ban

 

[dayt0na]

blog ekath remove karagena

govt eketath mada gahanna potak oka

 

[navinnuwan]

පොඩි එකෙක් හදලා තියෙන්නේ..

https://staysafe.gov.lk/admin

කියලා ගැහුවම ඇඩ්මින් url එකට යනවා...එකේ තියෙන්නේ password key based form එකක්..secure login එකක් නැහැ..view source ගියාම පේනවා javascript code එක ඇඩ්මින් කෙනෙක් හදන..එකෙන් ඇඩ්මින් කෙනෙක් හදලා storage set කරාම browser එකේ admin එකට යන්න පුළුවන්..

දැන් උන් කරලා තියෙන්නේ https://staysafe.gov.lk/admin එකේ admin කියන folder name එක වෙනස් කරපු එක..අලුත් folder name එක හොයා ගත්තම ආයිමත්

අලුත් trend එකනේ javascript වලින් සේරම කරන එක..පව් උන්....ඕක php වගේ එකකින් කළා නම් මලාට ලොග් වෙන්න බැහැ ඇඩ්මින් එකට..

ගවර්මෙන්ට් ඒවා ගොඩාක් වෙලාවට දෙන්නේ ලොකු ගානකට හිතවතුන්ට, චන්දෙට උදව් කරපු මිනිස්සුන්ට වගේ.
එතකොට ඉතින් ඒ හිතවත්තු වැඩ දන්නවද නැද්ද කියන එක අදාළ නැ ඉතින්.
ඔය ගවර්මෙන්ට් වෙබ් සයිට් බැලුවහම එක මොනවට පැහැදිලි වෙනවා නේ

 

[Pinkbc]

lanakawe privacy act ekak nadda?

 

[nkt]

H
He did and wait and enjoy the time for fking around peoples privacy

Do you know there is a thing called 'automated messeges'? Do you have any idea about the party that is actually fucking around peoples privacy here? talking nonsense and sending a msg to gota like a typical bayya

 

[saraprobe]

they did an incomplete cheap job. So blaming others is useless. Its their fault and they must admit it and correct it

You are just good at bickering here instead of helping

Do you know there is a thing called 'automated messeges'? Do you have any idea about the party that is actually fucking around peoples privacy here? talking nonsense and sending a msg to gota like a typical bayya

What are you on about?
SL has no privacy laws so collecting data is regarded normal

Of course someone managed to hack which is unethical and instead of assisting authorities in the midst of a pandemic, morons here brag about being able to hack WTF be faithful to your country at least one day in your lifetime

 

[Anonymous_Abstract]

sinhalu mathaka thiyaganin google eka tharam vath SL gov eka vishvasa karanna epa. gov kiyala nam vitharai karapu labbak na