ورود

نسخه کامل مشاهده نسخه کامل : راهنمایی: شناسایی باگ و بالا بردن امنیت سایت


mohan21
31-05-2009, 18:29
سلام

برای شناسایی باگ های سایت طراحی شده توسط خودم چکار باید کنم ؟؟؟

ممنون ....
mohan21
03-06-2009, 18:17
یعنی اینقدر این موضوع بی اهمیت هست ....
eAmin
03-06-2009, 20:04
سلام.

البته باگ داریم تا باگ!
ولی اگر منظورتون فقط باگهای امنیتی هست، باید تا حدودی توی مسائل هک و اینجور چیزها سررشته ناچیزی داشته باشید. ( البته نیاز هر برنامه نویس هست که، تا حدودی با این مسائل آشنایی داشته باشه. )
و اینکه زیاد هم به این بخش مربوط نمی شه، این مسائل چون بیشتر به هک و ... مربوط می شه تا اینجا.

اکثر حملاتی که به سایتها می شه حملاتی از نوع DDOS ( Denial of service attack ) , XSS ( Cross Site Scripting ), SQL Injection هست.
حملاتی که بیشتر از همه به کار می ره XSS و SQL Inject هست، و متداول ترین روشهاست. وظیفه شما به عنوان برنامه نویس این هست که این حملات رو از قبل پیش بینی و برای حنثی کردن اونها راهکارهایی پیاده سازی کنید. در مورد XSS بهتره جستجو کنید، چون قبلا درباره ی اون مفصل بحث شده.
این دو تاپیک مرجع خوبی برای شما هست:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
البته XSS و SQL Injection راههای متفاوت تری هم دارن که اونها رو باید یه هکر واقعی باشید تا به اون پی ببرید.
-----------

من دوتا روش معمول رو در حد خیلی کوچیک بهتون یاد می دم، ولی نباید از این دو قضیه سو استفاده کنید.:دی

XSS:
اینو زیاد توضیح نمی دم، چون تاپیکهایی که بالا معرفی کردم، کامل در اینباره توضیح دادن. فقط روشهای نفوذ رو می گم:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
و بی نهایت که گفتنشون در اینجا مقدور نیست.

SQL Injection:
فرض کن یه همچین آدرسی وجود داره و با این یه اطلاعاتی رو از بانک اطلاعاتی می خونه:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید حالا این Query String ه اگر فیـلتر نشده باشه خیلی راحت می شه توی آدرس بار حملات SQL Inject رو انجام داد. مثال:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
همونطور که دیدید جلوی 1 ما یک کوتیشن اضافه کردیم، و اینتر رو زدیم، بعد با کمال تعجب می بینی که یک خطای MySQL ظاهر شده... من دیگه ادامه ندادم که دیگه چه کارهایی که نمی شه با این باگ کرد!
این نشون دهنده ی باگ سایت طراحی شده توسط شماست و اگر از قبل ورودی ها رو فیـلتر نکرده باشید، یه همچین مشکلاتی پیش می یاد.

برای اطلاعات بیشتر جستجو توی سایت و گوگل و bing.com فراموش نشه:31:
mohan21
03-06-2009, 23:44
تشکر و هزاران بار تشکر ....

سوالی بود مزاحم میشم ...
mohan21
03-06-2009, 23:50
من چنین آدرسی رو دارم اما با وارد کردن کوتیشن در آخر ، اول، هر دو سمت، خطای MySQL مشاهده نشده و تنها عدد رو دیافت و اطلاعات رو نمایش داده ....
products.php?no_pro=1

چرا ؟؟؟
eAmin
05-06-2009, 20:07
من چنین آدرسی رو دارم اما با وارد کردن کوتیشن در آخر ، اول، هر دو سمت، خطای MySQL مشاهده نشده و تنها عدد رو دیافت و اطلاعات رو نمایش داده ....
products.php?no_pro=1

چرا ؟؟؟
سلام.

چندتا دلیل می تونه داشته باشه.

اول اینکه، ممکنه شما یا ... ورودی رو فیـلتر کرده باشید، با mysql_real_escape_string یا addslashes و ...
و دوم هم شاید شما error reporting رو غیر فعال کردید یا کردند، اگر خودتون اینکار رو کردید، error reporting رو برابر ALL قرار بدید ( برای اطلاعات بیشتر درمورد چگونگی این کار جستجو کنید. )

کلیت کار گفته شد، بقیه ش به عهده ی خودتون.
tan_ha_ba_too
30-06-2009, 20:25
سلام.مهران هستم...توروخدا كمكم كنين...نهوه ي ورود به اين سايت چه شكليه؟؟؟؟ [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
خواهش ميكنم...بهم جواب بدين... mehran640@gmail.com
Bill Gates
01-07-2009, 00:05
سلام.مهران هستم...توروخدا كمكم كنين...نهوه ي ورود به اين سايت چه شكليه؟؟؟؟ [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
خواهش ميكنم...بهم جواب بدين... mehran640@gmail.com


یعنی چی؟ ... به راحتی ! شناسه و پسورد رو بزنید

اگر منظورتون نفوذ اونطوریه باید بگم اینجا و نه کل انجمن جای اینطور چیزا نیست