Http://Admin
12-02-2012, 23:07
دوستان اگه به یه سایتی از طریق Sql اینجکت کنیم یعنی فقط دستورات رو وارد کنیم
کسی باخبر میشه؟؟؟
کسی باخبر میشه؟؟؟
مشاهده نسخه کامل
: دوستان اگه به یه سایتی از طریق Sql اینجکت کنیم یعنی فقط دستورات رو وارد کنیم کسی باخبر میشه؟؟؟
Http://Admin
12-02-2012, 23:26
یعنی ادمین میفهمه چنین دستوراتی به دیتابیس داده شده
Http://Admin
13-02-2012, 11:12
میشه لطفا جواب بدین خواهشن
loks12
13-02-2012, 15:15
تو اونجا که من خبر دارم نه نمی فهمه البته مطمین نیستم
و بعضی از سیستم مهای مدیریت محتوا مثل جوملا کامپوننت های دارن که تغییرات رو به مدیر گزارش میده
و بعضی از سیستم مهای مدیریت محتوا مثل جوملا کامپوننت های دارن که تغییرات رو به مدیر گزارش میده
photo1
13-02-2012, 21:39
بله بله بله. احتمال خیلی زیاد میفهمه.
مثلاً من تمام اسکریپتهام رو طوری آماده می کنم، که تمامی مشخصات فردی که injection میکنه رو سیو و ایمیل می کنه.
پس در مرحله اول بستگی به برنامه نویسی اسکریپت داره که injectionها رو لاگ کنه یا خیر.
در مرحله بعد اگه روی سرور فایروال درست و حسابی نصب باشه، بعد از 2تا 3بار injection آی.پی رو مسدود می کنه و به ادمین گزارش میده.
در مرحله آخر با مشاهده لاگهای apache به راحتی میشه، مشخصات فردی که تزریق injection رو انجام داده بدست آورد.
اما همگی بستگی به درجه سواد مدیر سایت داره که متوجه بشه و پیگیری کنه.
مثلاً من تمام اسکریپتهام رو طوری آماده می کنم، که تمامی مشخصات فردی که injection میکنه رو سیو و ایمیل می کنه.
پس در مرحله اول بستگی به برنامه نویسی اسکریپت داره که injectionها رو لاگ کنه یا خیر.
در مرحله بعد اگه روی سرور فایروال درست و حسابی نصب باشه، بعد از 2تا 3بار injection آی.پی رو مسدود می کنه و به ادمین گزارش میده.
در مرحله آخر با مشاهده لاگهای apache به راحتی میشه، مشخصات فردی که تزریق injection رو انجام داده بدست آورد.
اما همگی بستگی به درجه سواد مدیر سایت داره که متوجه بشه و پیگیری کنه.
Http://Admin
13-02-2012, 22:00
بله بله بله. احتمال خیلی زیاد میفهمه.
مثلاً من تمام اسکریپتهام رو طوری آماده می کنم، که تمامی مشخصات فردی که injection میکنه رو سیو و ایمیل می کنه.
پس در مرحله اول بستگی به برنامه نویسی اسکریپت داره که injectionها رو لاگ کنه یا خیر.
در مرحله بعد اگه روی سرور فایروال درست و حسابی نصب باشه، بعد از 2تا 3بار injection آی.پی رو مسدود می کنه و به ادمین گزارش میده.
در مرحله آخر با مشاهده لاگهای apache به راحتی میشه، مشخصات فردی که تزریق injection رو انجام داده بدست آورد.
اما همگی بستگی به درجه سواد مدیر سایت داره که متوجه بشه و پیگیری کنه.
پس گاوم زاییده:41::13::37:
آخه تارگت ایرانی بود (سایت Uni) فقط خواستم ببینم امنیتش چطوره:37:
مثلاً من تمام اسکریپتهام رو طوری آماده می کنم، که تمامی مشخصات فردی که injection میکنه رو سیو و ایمیل می کنه.
پس در مرحله اول بستگی به برنامه نویسی اسکریپت داره که injectionها رو لاگ کنه یا خیر.
در مرحله بعد اگه روی سرور فایروال درست و حسابی نصب باشه، بعد از 2تا 3بار injection آی.پی رو مسدود می کنه و به ادمین گزارش میده.
در مرحله آخر با مشاهده لاگهای apache به راحتی میشه، مشخصات فردی که تزریق injection رو انجام داده بدست آورد.
اما همگی بستگی به درجه سواد مدیر سایت داره که متوجه بشه و پیگیری کنه.
پس گاوم زاییده:41::13::37:
آخه تارگت ایرانی بود (سایت Uni) فقط خواستم ببینم امنیتش چطوره:37:
photo1
14-02-2012, 17:12
فکر نکنم گیر باشن!
شاید اصلاً نفهمیدن!
نهایتش بگو یه نرم افزار اسکنر گیر آورده بودم، خواستم تستش کنم!
خرابکاری که نکردید؟ یا مثلاً چیزی که تزریق نکردید؟
شاید اصلاً نفهمیدن!
نهایتش بگو یه نرم افزار اسکنر گیر آورده بودم، خواستم تستش کنم!
خرابکاری که نکردید؟ یا مثلاً چیزی که تزریق نکردید؟
Http://Admin
09-03-2012, 20:41
فکر نکنم گیر باشن!
شاید اصلاً نفهمیدن!
نهایتش بگو یه نرم افزار اسکنر گیر آورده بودم، خواستم تستش کنم!
خرابکاری که نکردید؟ یا مثلاً چیزی که تزریق نکردید؟
نه خوشبختانه کاری نکردم
امیدوارم به خیر بگذره
شاید اصلاً نفهمیدن!
نهایتش بگو یه نرم افزار اسکنر گیر آورده بودم، خواستم تستش کنم!
خرابکاری که نکردید؟ یا مثلاً چیزی که تزریق نکردید؟
نه خوشبختانه کاری نکردم
امیدوارم به خیر بگذره
BabyBoy
11-03-2012, 21:46
سلام
فکر نمی کنم Application این چیزارو لاگ کنه. چون تو سایت دانشگاه Performance خیلی مهمه و این کار سربار زیادی داره.
اگه SELECT نوشته باشی چیزی تو دیتابیس هم لاگ نمیشه.
اگه اطلاعات رو تغییر داده باشی تو لاگ دیتابیس ثبت میشه. که اونم خوشبختانه تو قسمت User اسم User سایت رو مینویسه.
یعنی نمی فهمن که چه کسی این کارو کرده.
فکر نمی کنم Application این چیزارو لاگ کنه. چون تو سایت دانشگاه Performance خیلی مهمه و این کار سربار زیادی داره.
اگه SELECT نوشته باشی چیزی تو دیتابیس هم لاگ نمیشه.
اگه اطلاعات رو تغییر داده باشی تو لاگ دیتابیس ثبت میشه. که اونم خوشبختانه تو قسمت User اسم User سایت رو مینویسه.
یعنی نمی فهمن که چه کسی این کارو کرده.
vBulletin , Copyright ©2000-2025, Jelsoft Enterprises Ltd.