دوستان اگه به یه سایتی از طریق Sql اینجکت کنیم یعنی فقط دستورات رو وارد کنیم کسی باخبر میشه؟؟؟

**Http://Admin** · 12-02-2012, 23:07

دوستان اگه به یه سایتی از طریق Sql اینجکت کنیم یعنی فقط دستورات رو وارد کنیم

کسی باخبر میشه؟؟؟

**Http://Admin** · 12-02-2012, 23:26

یعنی ادمین میفهمه چنین دستوراتی به دیتابیس داده شده

**Http://Admin** · 13-02-2012, 11:12

میشه لطفا جواب بدین خواهشن

**loks12** · 13-02-2012, 15:15

تو اونجا که من خبر دارم نه نمی فهمه البته مطمین نیستم
و بعضی از سیستم مهای مدیریت محتوا مثل جوملا کامپوننت های دارن که تغییرات رو به مدیر گزارش میده

**photo1** · 13-02-2012, 21:39

بله بله بله. احتمال خیلی زیاد میفهمه.

مثلاً من تمام اسکریپتهام رو طوری آماده می کنم، که تمامی مشخصات فردی که injection میکنه رو سیو و ایمیل می کنه.
پس در مرحله اول بستگی به برنامه نویسی اسکریپت داره که injectionها رو لاگ کنه یا خیر.

در مرحله بعد اگه روی سرور فایروال درست و حسابی نصب باشه، بعد از 2تا 3بار injection آی.پی رو مسدود می کنه و به ادمین گزارش میده.

در مرحله آخر با مشاهده لاگهای apache به راحتی میشه، مشخصات فردی که تزریق injection رو انجام داده بدست آورد.

اما همگی بستگی به درجه سواد مدیر سایت داره که متوجه بشه و پیگیری کنه.

**Http://Admin** · 13-02-2012, 22:00

نوشته شده توسط photo1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بله بله بله. احتمال خیلی زیاد میفهمه.

مثلاً من تمام اسکریپتهام رو طوری آماده می کنم، که تمامی مشخصات فردی که injection میکنه رو سیو و ایمیل می کنه.
پس در مرحله اول بستگی به برنامه نویسی اسکریپت داره که injectionها رو لاگ کنه یا خیر.

در مرحله بعد اگه روی سرور فایروال درست و حسابی نصب باشه، بعد از 2تا 3بار injection آی.پی رو مسدود می کنه و به ادمین گزارش میده.

در مرحله آخر با مشاهده لاگهای apache به راحتی میشه، مشخصات فردی که تزریق injection رو انجام داده بدست آورد.

اما همگی بستگی به درجه سواد مدیر سایت داره که متوجه بشه و پیگیری کنه.

پس گاوم زاییده

آخه تارگت ایرانی بود (سایت Uni) فقط خواستم ببینم امنیتش چطوره

**photo1** · 14-02-2012, 17:12

فکر نکنم گیر باشن!
شاید اصلاً نفهمیدن!

نهایتش بگو یه نرم افزار اسکنر گیر آورده بودم، خواستم تستش کنم!

خرابکاری که نکردید؟ یا مثلاً چیزی که تزریق نکردید؟

**Http://Admin** · 09-03-2012, 20:41

نوشته شده توسط photo1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

فکر نکنم گیر باشن!
شاید اصلاً نفهمیدن!

نهایتش بگو یه نرم افزار اسکنر گیر آورده بودم، خواستم تستش کنم!

خرابکاری که نکردید؟ یا مثلاً چیزی که تزریق نکردید؟

نه خوشبختانه کاری نکردم

امیدوارم به خیر بگذره

**BabyBoy** · 11-03-2012, 21:46

سلام
فکر نمی کنم Application این چیزارو لاگ کنه. چون تو سایت دانشگاه Performance خیلی مهمه و این کار سربار زیادی داره.
اگه SELECT نوشته باشی چیزی تو دیتابیس هم لاگ نمیشه.
اگه اطلاعات رو تغییر داده باشی تو لاگ دیتابیس ثبت میشه. که اونم خوشبختانه تو قسمت User اسم User سایت رو مینویسه.
یعنی نمی فهمن که چه کسی این کارو کرده.

نام تاپيک: دوستان اگه به یه سایتی از طریق Sql اینجکت کنیم یعنی فقط دستورات رو وارد کنیم کسی باخبر میشه؟؟؟

اختيارات تاپيک

دوستان اگه به یه سایتی از طریق Sql اینجکت کنیم یعنی فقط دستورات رو وارد کنیم کسی باخبر میشه؟؟؟

این کاربر از loks12 بخاطر این مطلب مفید تشکر کرده است

این کاربر از photo1 بخاطر این مطلب مفید تشکر کرده است

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن