ورود

نسخه کامل مشاهده نسخه کامل : امنیت و قابلیت های نفوذ و غیره



mohan21
22-10-2008, 23:59
سلام

موضوع این تاپیک اینه ؛

" مثلا اگر کسی خواست سایت رو هک کنه سایت بفهمه و برای آن آی پی سرویس نده و یا برای چند ثانیه خودش رو تعطیل کنه ! "

چجوریاست .....

توضیح کامل

با تشکر فراوان
---------------------------------------------------------
محان

Bill Gates
24-10-2008, 10:05
هیچی از موضوع این تاپیک نفمیدم اینو باور کن :31::31::31::31:

as13851365
24-10-2008, 13:20
من هم می خواستم که یک تایپیک با عنوان نجویه تشخیص و جلو گیری از نفوذ در سایت در این انجمن ایجاد کنم ولی شما پیش دستی کردید و با عنوانی نا مفهوم !

خوشحال می شم که دوستان راهکارهایی رو معرفی کنند!

یکی از نکاتی که به نظر من قابل لمس است پارامتر های ارسالی به صفحه است حالا چه از طریق Get و چه از طریق Post !

مثلا هر لحظه که می خواهید کاری رو با داده هایی که کاربر ارسال می کنه انجام بدید اول چک کنید ببینید که مقادیر ارسال شده توسط کاربر معتبر است یا نه اگر معتبر نبود آی پی کاربر رو درجایی ذخیره کن و بهش مثلا 5 دقیقه سرویس نده ...

راستی چطوری می شه مانند این سایت جلوی ارسال پست های پشت سر هم رو از کاربر گرفت ! ( با این نکته که کاربر عضو سایت نیست )

David.Jn
24-10-2008, 14:26
قبلآ يكي از راههاي هك و راههاي مقابله با اون تو تالار دايناميك بحث شده كه اسمش xss بود ولي بهتره روشهاي ديگه رو هم مدنظر بگيريم به نظرم تاپيكه حوبي بشه بهتره هم كسايي كه .net كارن وهم كسايي كه php كارن بيان تو...

David.Jn
24-10-2008, 14:29
ضمنآ يه هكر كلاه سفيد هم باشه خوبه

mohan21
24-10-2008, 20:29
سلام

چه کردم ...

همه رو از خواب زمستونی بیدار کردم ...

1. با چه داده هایی از طریق فرم های موجود در سایت بانک قفل میشه ، من یه بار کدهای جاوا اسکریپت رو وارد کردم که ... شد فاجعه ، ولی با ریستارت کردن سیستم حل شد ، روی سرور چی میشه ... !!؟

2. راه جلوگیری از ارسال اینجور داده ها توسط ...

3. در صورتی که n بار کاربر کلمه عبور را اشتباه وارد کرد به مدت m دقیقه نتونه وارد بشه ؛ میگم با کوکی نمیشه تعداد دفعاتی که دکمه ورود رو میزنه رو ثبت کنیم بعد اینکه به مقدار n رسید ... (چی نه! نمیشه!)

خوب مابقی رو شما بگید ، آخه من چقدر بگم ، خسته شدم ... (چی ! خواهش میشه بفرمایید ، ادامه بدید)

با تشکر فراوان
---------------------------------------------------------
محان

David.Jn
24-10-2008, 23:18
اول اشتباه وارد كردن رمز عبور هيچ ربطي به هك شدن نفوذ نداره
همين اول كاري بحث تاپيك را منحرف نكنيد

ولي :


. در صورتی که n بار کاربر کلمه عبور را اشتباه وارد کرد به مدت m دقیقه نتونه وارد بشه ؛ میگم با کوکی نمیشه تعداد دفعاتی که دکمه ورود رو میزنه رو ثبت کنیم بعد اینکه به مقدار n رسید ... (چی نه! نمیشه!)


چرا كوكي ؟!!! به نظرم راه بهتر براي جلوگيري از وارد شدن فردي كه اره رمز عبور را اشتباه ميده اينه كه بيايم يه سشن در نظر بگيرم هر بار كه اشتباه وارد كرد يكي بهش اصضفه كنيم وقتي اين سشن به مفدار دلخواه رسيد ديگه طرف نتونه بره مدت زماني وارد بشه.
باز مي گم اين ربطي به هك و نفوذ نداره
هكر دوباره بعد از مثلآ 15 دقيقه ديگه دوباره مياد و رمز هاي ديگرو امتحان ميكنه
اينجوريم نيست كه بشينه شانسي 30-40 تا رمز بده تا كدومش درست در بياد.

DaRiOuShJh
25-10-2008, 01:11
این موضوع پارامترهای ثابت ای داره مثله وارد نکردن یوزر نیم و پسورد در جاهایی که نمیدونید و نمیشناسید و ....


همینطور پارامترهای متغیره خیلی بیشتری داره که سیستم به سیستم فرق میکنه

مثلا فلان Cms از فلان ناحیه مشکله امنیتی داره و ....

as13851365
25-10-2008, 09:12
کسی به سوال ما جواب نمی ده ؟

راستی چطوری می شه مانند این سایت جلوی ارسال پست های پشت سر هم رو از کاربر گرفت ! ( با این نکته که کاربر عضو سایت نیست )
اگر دقت کرده باشید انجمن ها یه تایم برای هر پست در نظر می گیرن مثلا شما نمی تونید در انجمن کمتر از 30 ثانیه دو تا پست بدید و باید برای پست دوم 30 ثانیه صبر کنید !

من این کار رو برای عضو های سایت بلد هستم ولی برای کاربرانی که عضو نیستند و می خوان مطلبی رو برای سایت ارسال کنند ( سایت این امکان رو براشون داره که بدون عضو شدن کاربران بتونند پیغام بدن ) مابین هر دو مطلب یک وقفه 30 ثانیه ای ایجاد کنم

من هم با نظر zibatarin nam در پست 4 و 5 موافق هستم !
یعنی دوستان بیشتر برای نفوذ به سایت کار نکنند کمی هم برای بالا بردن امنیت کاری بکنند !

مثلا از این راهها می شه سایت رو هک کرد ولی راه جلو گیریش هم این است !!!

یک مثال : هیچ وقت مقادیری رو که از کابر می گیرید به صورت مستقیم در کوریها وارد نکنید اول مقادیر رو از لحاظ درست بودن چک کنید بعد هر کاری خواستید بکنید !

مثلا برای دادن رتبه بیشتر دوستان از شماره استفاده می کنند مثلا 1 بد 2 متوسط 3 خوب 4 بسیار عالی حالا شما می آیدید و این داده ها رو با مقادیر موجود در بانک جمع می کنید و رتبه ای به پست خودتان می دید حالا اگر یکی بیاد و به جای این عدد ها مقدار -1000 رو به سایت ارسال کنه چی !!!

DaRiOuShJh
25-10-2008, 12:25
من این کار رو برای عضو های سایت بلد هستم ولی برای کاربرانی که عضو نیستند و می خوان مطلبی رو برای سایت ارسال کنند ( سایت این امکان رو براشون داره که بدون عضو شدن کاربران بتونند پیغام بدن ) مابین هر دو مطلب یک وقفه 30 ثانیه ای ایجاد کنم

نیازی به کد نویسیه مستقیم نیست

هر سیستم انجمنی برای خودش mod های متعددی در این زمینه ها داره

mohan21
26-10-2008, 21:43
اجازه هست یه چیز بگم !

خوب میگم ...

چطور از ارسال داده های مخرب جلوگیری کنیم !

اصلا یکی بگه این کدهای مخرب چی هستند !

چطور از ارسالشون جلوگیری کنیم !

David.Jn
26-10-2008, 22:11
اجازه هست یه چیز بگم !

خوب میگم ...

چطور از ارسال داده های مخرب جلوگیری کنیم !

اصلا یکی بگه این کدهای مخرب چی هستند !

چطور از ارسالشون جلوگیری کنیم !

همونطور كه تو صفحه قبل گفتم يه سر به اون تاپيك بزنيد چيزاي خوبي به دستتون مياد
اينم آدرسش:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
روشهاي ديگه اي اگه بره هك شدن سراغ داريد بگيد وراه مقابلشو
اينجوري بهتره

neopersia
27-10-2008, 01:07
کاری که از دست برنامه نویس بر میاد اینه که به داده هایی که از خارج وارد اسکرپت میشن یا احتمال آلوده شدنشون هست اعتماد نکنه!
تا همین حد اگر مراقب باشید جلوی خیلی از حمله ها گرفته میشه.
یه چیزی هم بگم! تا وقتی که بر اصول کار مسلط نشدید و ماهیت اطلاعاتی رو که باهاش کار میکنید و به دست مفسر Php میرسه درک نکردید دنبال امنیت نرید چون باعث میشه بیشتر قاطی کنید.

as13851365
27-10-2008, 08:30
نیازی به کد نویسیه مستقیم نیست

هر سیستم انجمنی برای خودش mod های متعددی در این زمینه ها داره

آقا داریوش ممنون ولی !!

من از هیچ مدیریت محتوایی و هیچ برنامه آماده استفاده نمی کنم !

من خودم به تازگی شروع به نوشتن یک سایت کردم برای همین هم است که چنین سوالی رو پرسیدم آخه وقتی تو انجمن بخواهی دو تا پست رو کمتر از 30 ثانیه بدی پست دومی رو ثبت نمی کنه و می گه که بعد از مثلا 20 ثانیه دیگه سعی کنید .

حالا من در سایتی که دارم می سازم یک قسمتی رو برای ثبت نظرات قرار دادم که کاربران بتونند نظراتشون رو بگن !

اصلا یه سوال :
منظور از هک کردن نفوذ به سایت است حالا اگر کسی بیاد و بدون این که چیزی از هک حالیش باشه مرتب فرم ثبت نظر رو پر کنه و ارسال کنه بعد دکمه back رو بزنه و دوباره ارسال کنه ( طرف عجب آدم بیکاری هست ) چی ؟

یه کمی پیشرفته تر : اگر کمی از برنامه نویسی حالیش باشه و بیاد یک صفحه درست کنه و یک حلقه بزاره و مثلا فرم ارسال نظر رو داخل این حلقه ارسال کنه چی ؟ الته برای این کار می شه یه کار هایی کرد مثلا :

در برنامه خودمان ببینیم که اطلاعات از کجا می آیند یعنی اگر از صفحه ای که ما طراحی کردیم این اطلاعات آمدند که اجازه ثب رو بهش بدیم در غیره این صورت نه !

حالا برای ایجاد تاخیر در ارسال دو پست از یک کامپیوتر چه راهی روجود داره ؟

فکر کنم باید از آی پی استفاده کنم آیا این کار درست است یا نه ؟ ( چون مطالبی در این انجمن خوندم که ممکنه کاربری اصلا آی پی نداشته باشه برای این چه کاری می شه کرد ؟)

DaRiOuShJh
27-10-2008, 13:12
1. اینقد پست کنه که باد کنه! مشکلی نداره!×!
اگر زمان مثلا 30 ثانیه ای بینه هر پست از هر IP باشه یارو باید واقعا بیکار باشه!×!

2. دیگه خیلی خیلی بیکار و افشرده و خسته باید باشه!!! که از این کارا بکنه!×!

در هر صورت ممکنه با برنامه هایی که خودمون بخوایم بنویسیم این چیزا امکان باشه
ولی در cms ها و فروم ها این احتمال ها به حداقل میرسه

در هر صورت این موضوعات بیشتر به spam مربوط میشه تا ---- ها

mohan21
27-10-2008, 20:51
اگر با برنامه هایی از قبیل فیلترشکن و ... وارد این سایت بشیم با پیغامی مواجه میشیم که ... و اجازه دسترسی نمیده ...

این چجوریاست ...!!؟

mohan21
10-11-2008, 22:50
اینجا همه خوابیدن ..............

neopersia
10-11-2008, 23:13
اگر با برنامه هایی از قبیل فیلترشکن و ... وارد این سایت بشیم با پیغامی مواجه میشیم که ... و اجازه دسترسی نمیده ...

این چجوریاست ...!!؟
خوب جواب مشکلی نیست IP های مورد استفاده اون برنامه (حالا عمداً یا اتفاقی) رو بن کردن که نشه از اونجا وارد شد!