https://virgool.io/feed/@jadoogar من خودِ خودِ باگم fa 2026-04-14 18:35:02 https://static.virgool.io/images/default-avatar.jpg https://virgool.io/@jadoogar https://virgool.io/@jadoogar/%D9%BE%D8%A7%D8%B1%D8%AA-%D8%AF%D9%88%D9%85-%D8%AF%D9%88%D8%B1-%D8%B2%D8%AF%D9%86-%D9%BE%D9%84%D9%86-upgrade-%D8%B3%D8%A7%DB%8C%D8%AA-notion-hi3jnfz4pdnm این رایت‌آپ با همکاری من و محمدحسین صادقیان انجام شده.و برای دیدن پارت قبلی رایت‌آپ از این لینک اقدام کنید.درسته که تونستیم بدون پرداخت پول از قابلیت‌های کامل سایت Notion استفاده کنیم.اما من اینجور بودم که نه دلم میخاد راحت‌تر و ساده‌تر اینکارو انجام بدم، ناراحت میشدم هربار چند دقیقه صبر کنم تا بتونم از قابلیت‌هاش استفاده کنم.پس وقتش بود ایرانی بودن خودمو نشون بدم.باید قبلش بگم توی پارت اول گفتم که حسابم بخاطر کارهای زیادی که داخلش کرده بودم بهم پیام Upgrade میداد و تا وقتی پول پرداخت نمی‌کردم نمی‌تونستم بلاک(خط) جدیدی داخلش ایجاد کنم و چیزی بنویسم.شروع کردم دقیق‌تر سایتشون بررسی کردم متوجه یک فیچر جدید داخل سایتشون شدم.آره اوناهم توی جَوِ AI Assistant ها قرار گرفته بودن و این شاهکار رو به سایتشون اضافه کرده بودن.کارش هم این بود به کاربرها کمک میکرد تا به صورت خودکار کارای روزانشون انجام بدن، دیگ لازم نبود برای 30 خط کارای روزمره خودشون مدیریت کنن اون AI Assistant براشون انجام میداد.با خودم گفتم یعنی اگر ازش بخوام برام بلاک(خط) جدید اضافه میکنه؟یعنی برام انواع قابلیت‌هایی که دیگه نمیزاره داشتم باشم رو بهم میده؟می‌تونم ازش بخام برام بلاک‌های Code درست کنه؟باید بگم دمشون گرم واقعا، ازش خاستم تا برام 20 بلاک جدید برام ایجاد کنه بدون اینکه یکم باهام چونه بزنه حتی بگه عزیز تو تا وقتی پول شرکتمون ندی برات کاری نمیکنم شروع کرد سریع 20 تا بلاک رو ایجاد کرد :')انواع بلاک‌هارو برام درست میکرد و راحت هم شده بودم حتی دیگه انگشتمو روی Enter لازم نبود بزنم همه کارامو میکرد بدون اینکه بره بررسی کنه ببینه حسابم Upgrade شده یا ن.برای دیدن کلیپ اکسپلویت آسیب پذیری روی لینک کلیک کنید. میثم بال افکن میثم بال افکن Wed, 12 Nov 2025 10:47:23 +0330 https://virgool.io/@jadoogar/%D8%AF%D9%88%D8%B1-%D8%B2%D8%AF%D9%86-%D9%BE%D9%84%D9%86-upgrade-%D8%B3%D8%A7%DB%8C%D8%AA-notion-osvso32jhddv این رایت‌آپ با همکاری من و محمدحسین صادقیان انجام شده.کلیپ از روند اکسپلویت آسیب پذیری اِنتهای رایت‌آپ.پارت اولچند وقتی بود از Notion برای نوشتن برنامه‌های روزمره و مدیریت کارام استفاده میکردم، و هرموقع عضو جدیدی به تیم میومد اون رو هم به حساب کاربریم متصل میکردم.تا اینکه آخرین عضوی که گرفتیم موقع متصل کردنش به حسابم یک پیام اومد که میگفت نیازه Upgrade کنی تا بتونی بلاک جدید (خط جدید داخل نوشن) ایجاد کنی.اینجا یکم حالم گرفته شد که تا وقتی هزینه پرداخت نکنم برای Upgrade plan حسابم نمیتونم دیگه چیزی توش بنویسم.پارت دوماون حس هکریه اصلا نمیزاشت بهشون پول پرداخت کنم، هرجور شده باید ی راهی پیدا میکردم تا کارمو بدون اینکه بهشون پولی بدم ادامه بدم.بعد از کلی سر و کله زدن با سایتشون بلاخره یک روزنه اُمید دیدم.آره خودشه وقتی سایتو Reload میکنم درست چند میلی ثانیه قبل اینکه کامل لود بشه میتونم بلاک(خط) جدید توی حساب کاربریم ایجاد کنم.فقط باید خیلی سریع چند میلی ثانیه قبل لود شدن کامل سایتشون روی بلاک فعلیم کلیک کنم و پشت هم Enter بزنم.پارت سوم (پارت جهنمی)حالا از اینجا به بعد با یکسری از هم تیمیا صحبت کردم تا روی Notion وقت بزارن و تنها کسی که موند محمدحسین بود.با صحبتایی که کردیم به این فکر افتاده بودیم حتما یک فایل JavaScript ای هست که داره اعتبار سنجیو انجام میده و بخاطر همین موقع لود شدنش، اون اتفاق میوفته.پس عزممون رو جزم کردیم تا چند صد فایل جاوا اسکریپتیشو بخونیم :')رسیدیم به 2 تا فایل که اصل اعتبار سنجی قسمت Upgrade از اون فایلا میومد.با خودمون گفتیم خب کاری نداره موقعی که داریم با BurpSuite ریکوئست‌هاشو میگیریم به اون 2 تا فایل JS که رسید دراپشون میکنیم.آره جواب داد =) اما خیلی زود فهمیدیم نه مشکل اون 2 تا فایل JS نیستن و بگیر نگیره داره اینکار.حتی کدای فایل‌های JS رو override هم کردیم اما بازم نتیجه‌ای که ما میخواستیمو نمیداد، انگار یک سری JS فایل‌های دیگه بود که بعدش میومدن و بررسی میکردن باز و نصفه و نیمه می‌موند.پارت آخر (پارت قبلی اصلا مقابل این پارت جهنم که هیچی آتیش چوب کبریته)بلاخره بعد تست کردن کلی روش مختلف و انجام همه سناریوهایی که به ذهنمون میرسید من و محمدحسین راهشو پیدا کردیم، فهمیدیم وقتی بین ریکوئست‌ها Delay یک ثانیه‌ای میندازیم عملا دیگ سایتشون بررسی نمیکنه که حساب رو Upgrade کردیم یا نه!عجیب بود اما واقعا علاج کار تو همین صبرِ بود(داستان لاکپشت و خرگوش)، دقیقا جواب همین بود باید یکبار سایتو Reload میکردیم و ایجاد تاخیر 1 ثانیه‌ای بین هر ریکوئست باعث میشد بعدش کل قابلیت‌های سایتشون برامون باز بشه و دیگه پیام Upgrade plan نمیومد تا زمانی که سایتشون می‌بستیم.برای دیدن کلیپ اکسپلویت آسیب پذیری روی لینک کلیک کنید. میثم بال افکن میثم بال افکن Tue, 19 Aug 2025 16:55:17 +0330