مشاهده نسخه کامل
: امنیت نرم افزار PHP
M o h a m m a d
25-06-2009, 11:36
سلام !
خسته نباشید
:31:
ببخشید اینجا دارم پست میدم ولی مرتبط ترین تالار همین جا بود ...
من یه برنامه PHP نوشتم می خوام کسی نتونه کد برنامه رو ببینه ...
همونطور که خودتتون مستحضر هستید :31: برنامه های PHP در و پیکر نداره هر کی دلش بخواد میتونه دل و روده برنامه رو در بیاره و ...
چجوری میشه از این کار جلوگیری کرد ؟! من یه مطالبی در مورد ZEND و این چیزا پیدا کردم ولی هیچی نفهمیدم ...
باید چی کار کرد که اولاً نرم افزار با اجازه من اجرا بشه و این که کسی نتونه سورس رو ببینه ...
ممنــــون :40:
Bill Gates
25-06-2009, 13:36
سلام دادا
توصیه : بهتره علاوه بر ایجاد امنیت با نرم افزار راه نفوذ توسط خودت رو از server به server بزاری که کنترل سیستم رو در اختیار بگیری یه خورده کد نویسی داره ولی میارزه ...
zend بری بالا بری خلاصه بعد از یه مدت که الگوریتم هاش لو رفت شکسته میشه و خداحافظ اسکریپت :دی
اجراش هم توسط خودت همون راه مدیریت و ارسال دستورات و اجازه اجرا از server دیگه هستش :)
piremard
25-06-2009, 13:37
اون -پی.اچ.پی.زند یک هشینگ روی کد انجام می ده و کلید می سازه . باید همراه سورس یک ام.دی.5 باشه تا بعد سورس روی سرور خوانا بشه و اونوقت یا درخواست کد ثانویه می کنه یا در بیشتر موارد با همون ام.دی.5 خالی کار می کنه . هزینه اینکار زیاده و نال کردن این سورس ها هرچند وقتگیر و مشکله ، ولی امکان پذیره .
گرونترین سورسی که من می شناختم و حدود 2 میلیون تومان قیمت داشت ، الان دیکریپت شده و مجانی نصب می شه !
ama-amir
25-06-2009, 14:22
يعني هر اسكريپت پي اچ پي راحت لو ميره؟
هيچ كاري نميشه كرد كه نالش نكنن؟
piremard
25-06-2009, 16:02
کلا چیزی نیست که کرک نشه . فقط مشکل اینجاست که هزینه اش می صرفه یا نه . کسی برای یک موضوع کم اهمیت وقت و توان مالی زیادی هزینه نمی کنه ولی برای شکستن یک اطلاعات مهم امنیتی و ملی چرا ! این اسکریپت هایی هم که از پی.اچ.پی زند استفاده می کنند - البته بسته به نیاز و سبک استفداشون - معمولا گرانقیمتند . چون زند اگر بشکل غیر قانونی استفاده بشه با اخطار به ادمین سرور ، باید از روی سرور پاک بشه ، پس زند رو هم باید ابتدا خریداری کرد که اونم قیمتیست
M o h a m m a d
25-06-2009, 16:49
منظورت از اینکه با اجازه از یک سرور دیگه بیاد چیه ؟! :31:
من یه برنامه قبلاً نوشتم که اول میرفت سراغ یه سرور دیگه اون سرور میومد آی پی کسی که داره ازش اجازه میگیره رو چک می کرد :31: بعدش کد ها رو Echo می کرد این سایت اصلی هم اون رو eval می کرد !
ولی بازم راحت میشد کد رو به دست آورد یارو جای eval می نوشت echo حل بود :31:
حالا اگه میشه یه توضیحی بده که ما بدونیم چجوری میشه اجازه از سرور دیگه گرفت و راحت نشه کد ها رو به دست آورد ...
آخه این برنامه ای که نوشتم فکر کنم ارزون نباشه ... سرویس وبلاگدهی مثـــــــــــــل میهن بلاگ با قابلیت خوندن قالب میهن بلاگ و ... :31: به نظرتون چند میارزه و ارزششو داره که برای امنیتش خرج کنم ؟
piremard
25-06-2009, 17:17
منظورت از اینکه با اجازه از یک سرور دیگه بیاد چیه ؟! :31:
من یه برنامه قبلاً نوشتم که اول میرفت سراغ یه سرور دیگه اون سرور میومد آی پی کسی که داره ازش اجازه میگیره رو چک می کرد :31: بعدش کد ها رو Echo می کرد این سایت اصلی هم اون رو eval می کرد !
ولی بازم راحت میشد کد رو به دست آورد یارو جای eval می نوشت echo حل بود :31:
حالا اگه میشه یه توضیحی بده که ما بدونیم چجوری میشه اجازه از سرور دیگه گرفت و راحت نشه کد ها رو به دست آورد ...
آخه این برنامه ای که نوشتم فکر کنم ارزون نباشه ... سرویس وبلاگدهی مثـــــــــــــل میهن بلاگ با قابلیت خوندن قالب میهن بلاگ و ... :31: به نظرتون چند میارزه و ارزششو داره که برای امنیتش خرج کنم ؟
این اجازه از سرور رو نمی دونم منظور ایشون چی هست . ولی فقط خواستم بگم که یک هکر و کد نویس اکس.اس.اس ، بدون نیاز به سورس کد اینا رو راحت رد می کنه . بخصوص وقتی سورس کد اصلیم که بهش بدی که ... !
Bill Gates
25-06-2009, 23:15
سلام
ببینید یک سروری وجود داره که منبع اسکریپته یعنی واسه ی خوده برنامه نویس هستش یک سرور دیگه هم که سرور مصرف کننده هستش
برای ایجاد امنیت میایم یک فایلی رو include میکنیم توی php که سورس اون فایل include شده اینه که میاد با ایجاد درگاه بین سرور مصرف کننده و سرور برنامه نویس اطلاعات رو میفرسته به سرور برنامه نویس مثل نام سایت و غیره ...
حالا ما این نام که ارسال شده رو میگیریم بررسی میکنیم میبینیم جزء خریداران نیست اون موقع هستش که توسط درگاه دستوراتی مثل پاک کردن اطلاعات و ... رو میفرستیم و به طور کل طرف رو از ادامه کار با این اسکریپت پشیمون میکنیم :دی
حالا شما بیاین بگید طرف سودجو بیاد این فایل رو از بین ببره کد include هم بپرونه ولی معمولا برنامه نویس ها سعی نمیکنند کد نویسی رو ساده انجام بدند و با دستورات شرطی موجودیت فایل تا تایید نشه کار انجام نمیگیره
حالا شما دوباره بگید که فرد سودجو میاد و آدرس ارسالی رو با دستکاری آدرس یک سایت لیسانس دار میکنه خوب بهترین راه برای جلوگیریش اینه که بیایم لیست سایت های اصلی و خریداری شده رو بهش بدیم با دستورات شرطی مشخص کنیم این سایت هست یا نه ...
یه راه دیگه هم اینه اگر فرد سودجو بیاد اینکاره بالا رو کنه به روشی دیگه ما میتونیم با هردفعه چک کردن وب سایت ها دستور ویرایش کد صفحه به نسخه اصلی رو بدیم
اگر هم حتی فرد سودجو بیاد قسمت دریافت دستورات رو از سرور مرکزی حذف کنه کافیه در زمان چک کردن موجودیت این فایل موجودیت کد اصلی رو هم چک کنیم
حالا بازم اگر بیاین بگید که کد ها چک کننده موجودیت و اصلی بودن کد رو پاک کنه که بازم میگم با یکسری پیچش های برنامه نویسی و تکرار و تفاوت در روش شناسایی میتونید جلوی این کار هم بگیرید :دی
تشکر//
به نظرتون چند میارزه و ارزششو داره که برای امنیتش خرج کنم ؟ این سیستم چیزی نیست که فروشش زیاد باشه و میتونه با دوتا فروش چون قیمت بالایی داره در صورت خوب بودن و با کیفیت و امنیت بالا کله سود رو از فروش 10 تا سیستم دیگه کنه :)
اینجور سایت ها بهتره روی امنیت درونی و هستشون کار بشه
---
راه دیگه هم که میشه از امنیت اسکریپت محافظت کرد اینه که روش های زمان دار به کار ببری که مثلا من یه مدت اینکار رو برای یک سری از دوستان کردم که میاد برای یک سایت خبری حده معین خبری رو مشخص میکنه و مثلا 5000 تا که اگر به این count برسه دیگه ارسال نمیزاره بشه و باید با پشتیبانی تماس گرفت تا بهشون بگیم که انقضاء شده و باید هزینه ای بابت ادامه کار پرداخت کنید که زیاد این روش خوب نیست ولی اگر استفاده درست بشه ازش روش جالبیه :)
---
آخرین راه پیشنهادی هم : ثبت نرم افزار و در صورت استفاده غیره قانونی شکایت :)
piremard
26-06-2009, 19:42
سلام
ببینید یک سروری وجود داره که منبع اسکریپته یعنی واسه ی خوده برنامه نویس هستش یک سرور دیگه هم که سرور مصرف کننده هستش
برای ایجاد امنیت میایم یک فایلی رو include میکنیم توی php که سورس اون فایل include شده اینه که میاد با ایجاد درگاه بین سرور مصرف کننده و سرور برنامه نویس اطلاعات رو میفرسته به سرور برنامه نویس مثل نام سایت و غیره ...
حالا ما این نام که ارسال شده رو میگیریم بررسی میکنیم میبینیم جزء خریداران نیست اون موقع هستش که توسط درگاه دستوراتی مثل پاک کردن اطلاعات و ... رو میفرستیم و به طور کل طرف رو از ادامه کار با این اسکریپت پشیمون میکنیم :دی
حالا شما بیاین بگید طرف سودجو بیاد این فایل رو از بین ببره کد include هم بپرونه ولی معمولا برنامه نویس ها سعی نمیکنند کد نویسی رو ساده انجام بدند و با دستورات شرطی موجودیت فایل تا تایید نشه کار انجام نمیگیره
حالا شما دوباره بگید که فرد سودجو میاد و آدرس ارسالی رو با دستکاری آدرس یک سایت لیسانس دار میکنه خوب بهترین راه برای جلوگیریش اینه که بیایم لیست سایت های اصلی و خریداری شده رو بهش بدیم با دستورات شرطی مشخص کنیم این سایت هست یا نه ...
یه راه دیگه هم اینه اگر فرد سودجو بیاد اینکاره بالا رو کنه به روشی دیگه ما میتونیم با هردفعه چک کردن وب سایت ها دستور ویرایش کد صفحه به نسخه اصلی رو بدیم
اگر هم حتی فرد سودجو بیاد قسمت دریافت دستورات رو از سرور مرکزی حذف کنه کافیه در زمان چک کردن موجودیت این فایل موجودیت کد اصلی رو هم چک کنیم
حالا بازم اگر بیاین بگید که کد ها چک کننده موجودیت و اصلی بودن کد رو پاک کنه که بازم میگم با یکسری پیچش های برنامه نویسی و تکرار و تفاوت در روش شناسایی میتونید جلوی این کار هم بگیرید :دی
تشکر//
این سیستم چیزی نیست که فروشش زیاد باشه و میتونه با دوتا فروش چون قیمت بالایی داره در صورت خوب بودن و با کیفیت و امنیت بالا کله سود رو از فروش 10 تا سیستم دیگه کنه :)
اینجور سایت ها بهتره روی امنیت درونی و هستشون کار بشه
---
راه دیگه هم که میشه از امنیت اسکریپت محافظت کرد اینه که روش های زمان دار به کار ببری که مثلا من یه مدت اینکار رو برای یک سری از دوستان کردم که میاد برای یک سایت خبری حده معین خبری رو مشخص میکنه و مثلا 5000 تا که اگر به این count برسه دیگه ارسال نمیزاره بشه و باید با پشتیبانی تماس گرفت تا بهشون بگیم که انقضاء شده و باید هزینه ای بابت ادامه کار پرداخت کنید که زیاد این روش خوب نیست ولی اگر استفاده درست بشه ازش روش جالبیه :)
---
آخرین راه پیشنهادی هم : ثبت نرم افزار و در صورت استفاده غیره قانونی شکایت :)
خوشتیپ :20: این روشهای شما تازه نصف قدرت زند هم نیست . شما پس تصور می کنید مثلا php cow چطور از سرسهاش حمایت می کنه ؟ حتی سورسهای 40 دلاری هم این امنیت رو دارند ، اونهم با ام.دی.5 اما همگی نال می شند . همین فروم وی بولتین که پر فروشترین سورس فروم هست و هر ادمینی می دونه که اگر نصبش کنه ممکنه بخطر بیوفته ، بقدری سورس درهمی داره ه فید بک بفرسته ، ولی بازم نال می شه !
یعنی تصور می کنید این راه حلهای شما به فر تحلیلگران امنیت شرکتهای چند میلیون دلاری و کنفرانسهای هک نرسیده ؟ من حتی جایی دیدم سورس کامل یک سایت خبری رو برای دانلود گذاشته بودند ، در حالیه اصلا این سایت فقط یک اسکریپت نویس منحصر بفرد داشت . دنیای برنامه نویسان زیرزمینی روس-امریکا و آلمان و ... دنیای عجیبیست . الان در اینترنت سایتهای "سیاهی" هستند که در ازاء 100 دلار هر نوع رمز گذاری زند و هشینگ رو ترجمه می کنند .
Bill Gates
27-06-2009, 00:10
خوشتیپ [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] این روشهای شما تازه نصف قدرت زند هم نیست . شما پس تصور می کنید مثلا php cow چطور از سرسهاش حمایت می کنه ؟ حتی سورسهای 40 دلاری هم این امنیت رو دارند ، اونهم با ام.دی.5 اما همگی نال می شند . همین فروم وی بولتین که پر فروشترین سورس فروم هست و هر ادمینی می دونه که اگر نصبش کنه ممکنه بخطر بیوفته ، بقدری سورس درهمی داره ه فید بک بفرسته ، ولی بازم نال می شه !
یعنی تصور می کنید این راه حلهای شما به فر تحلیلگران امنیت شرکتهای چند میلیون دلاری و کنفرانسهای هک نرسیده ؟ من حتی جایی دیدم سورس کامل یک سایت خبری رو برای دانلود گذاشته بودند ، در حالیه اصلا این سایت فقط یک اسکریپت نویس منحصر بفرد داشت . دنیای برنامه نویسان زیرزمینی روس-امریکا و آلمان و ... دنیای عجیبیست . الان در اینترنت سایتهای "سیاهی" هستند که در ازاء 100 دلار هر نوع رمز گذاری زند و هشینگ رو ترجمه می کنند .
جسکون :دی zend که بعد از یه مدت که نسخه جدیدش میاد اینگیل مثل هلو اسکریپت رو میارن تو گلو با کمی دردسر ...
دوoم : من روش قفل کردن خوده اسکریپت رو نگفتم روش های جلوگیری از سوء استفاده و دزدی رو گفتم جکسون ... اسکریپت رو دانلود کن استفاده کن 2 روز بعد خداحافظی کن :)
یعنی تصور می کنید این راه حلهای شما به فر تحلیلگران امنیت شرکتهای چند میلیون دلاری و کنفرانسهای هک نرسیده ؟
استیو من اینو گفتم؟
خیلی کار ها میشه برای یه کاری خیلی ها هم نه ... خیلی جاها موقعیت طوریه که نمیشه بعضی چیز ها رو انجام داد حتی بهترین باشه :)
من اینایی که گفتم چند نمونه بود که واسه افرادی مثل من که به قفلیدن اسکریپت ایمان ندارند به درد میخوره :) و فقط میخوان جلوگیریش کنند
خیلی ها هم هستند که خودم رو مثال بزنم بهتره میان یه مترجم مینویسن اسکریپت رو با واژه های خودشون مینویسن echo رو بر فرض مثال میزاریم qvt6 مترجم هم توی سرور قرار داده میشه تنها کسی میتونه اسکریپت رو بشکونه که ترجمشو بلد باشه یا اینکه به بانک اطلاعاتی موجود توی سرور دسترسی پیدا کرده باشه :)
بخوام راه ها رو بگم کارکتر جا نمیده بهم :)
M o h a m m a d
28-06-2009, 09:35
:31: من در نهایت باید چی کار کنم !؟
ی
piremard
28-06-2009, 13:24
:31: من در نهایت باید چی کار کنم !؟
ی
های
اگر حوزه فعالیت و مشتریهای شما محدود به ایران هست که هیچ مشکلی نیست . ما در ایران هنوز کسی رو نداریم که بتونه حرفه ای با زند کار کنه ، چه اینکه بخواد دیکریپتش کنه . سورس شمام اگر زیر 500 دلار ارزش داره - برای فروش تعداد بالا - پس مشکلی نیست . اگر برای خارج از ایرانه ، سعی کنید با شرکت های امنیت در زمینه داد و ستد اسکریپت مشورت کنید . از همون زند هم می تونید کمک بگیرید . کلیم تحویلتون می گیرند و دعوتنماه کنفرانسم براتون می فرستند .
Bill Gates
28-06-2009, 17:24
های
اگر حوزه فعالیت و مشتریهای شما محدود به ایران هست که هیچ مشکلی نیست . ما در ایران هنوز کسی رو نداریم که بتونه حرفه ای با زند کار کنه ، چه اینکه بخواد دیکریپتش کنه . سورس شمام اگر زیر 500 دلار ارزش داره - برای فروش تعداد بالا - پس مشکلی نیست . اگر برای خارج از ایرانه ، سعی کنید با شرکت های امنیت در زمینه داد و ستد اسکریپت مشورت کنید . از همون زند هم می تونید کمک بگیرید . کلیم تحویلتون می گیرند و دعوتنماه کنفرانسم براتون می فرستند .
سلام
این حرف رو تایید میکنم zend توی قدرتش شکی نیست در صورتی که طرف ناشی نباشه :31:
تشکر//
vBulletin , Copyright ©2000-2024, Jelsoft Enterprises Ltd.