واضح آرشیو وب فارسی:سایت ریسک: View Full Version : امنیت و قابلیت های نفوذ و غیره mohan2122-10-2008, 11:59 PMسلام موضوع این تاپیک اینه ؛ " مثلا اگر کسی خواست سایت رو -- کنه سایت بفهمه و برای آن آی پی سرویس نده و یا برای چند ثانیه خودش رو تعطیل کنه ! " چجوریاست ..... توضیح کامل با تشکر فراوان --------------------------------------------------------- محان Bill Gates24-10-2008, 10:05 AMهیچی از موضوع این تاپیک نفمیدم اینو باور کن :31::31::31::31: as1385136524-10-2008, 01:20 PMمن هم می خواستم که یک تایپیک با عنوان نجویه تشخیص و جلو گیری از نفوذ در سایت در این انجمن ایجاد کنم ولی شما پیش دستی کردید و با عنوانی نا مفهوم ! خوشحال می شم که دوستان راهکارهایی رو معرفی کنند! یکی از نکاتی که به نظر من قابل لمس است پارامتر های ارسالی به صفحه است حالا چه از طریق Get و چه از طریق Post ! مثلا هر لحظه که می خواهید کاری رو با داده هایی که کاربر ارسال می کنه انجام بدید اول چک کنید ببینید که مقادیر ارسال شده توسط کاربر معتبر است یا نه اگر معتبر نبود آی پی کاربر رو درجایی ذخیره کن و بهش مثلا 5 دقیقه سرویس نده ... راستی چطوری می شه مانند این سایت جلوی ارسال پست های پشت سر هم رو از کاربر گرفت ! ( با این نکته که کاربر عضو سایت نیست ) zibatarin nam24-10-2008, 02:26 PMقبلآ يكي از راههاي هك و راههاي مقابله با اون تو تالار دايناميك بحث شده كه اسمش xss بود ولي بهتره روشهاي ديگه رو هم مدنظر بگيريم به نظرم تاپيكه حوبي بشه بهتره هم كسايي كه .net كارن وهم كسايي كه php كارن بيان تو... zibatarin nam24-10-2008, 02:29 PMضمنآ يه هكر كلاه سفيد هم باشه خوبه mohan2124-10-2008, 08:29 PMسلام چه کردم ... همه رو از خواب زمستونی بیدار کردم ... 1. با چه داده هایی از طریق فرم های موجود در سایت بانک قفل میشه ، من یه بار کدهای جاوا اسکریپت رو وارد کردم که ... شد فاجعه ، ولی با ریستارت کردن سیستم حل شد ، روی سرور چی میشه ... !!؟ 2. راه جلوگیری از ارسال اینجور داده ها توسط ... 3. در صورتی که n بار کاربر کلمه عبور را اشتباه وارد کرد به مدت m دقیقه نتونه وارد بشه ؛ میگم با کوکی نمیشه تعداد دفعاتی که دکمه ورود رو میزنه رو ثبت کنیم بعد اینکه به مقدار n رسید ... (چی نه! نمیشه!) خوب مابقی رو شما بگید ، آخه من چقدر بگم ، خسته شدم ... (چی ! خواهش میشه بفرمایید ، ادامه بدید) با تشکر فراوان --------------------------------------------------------- محان zibatarin nam24-10-2008, 11:18 PMاول اشتباه وارد كردن رمز عبور هيچ ربطي به هك شدن نفوذ نداره همين اول كاري بحث تاپيك را منحرف نكنيد ولي : . در صورتی که n بار کاربر کلمه عبور را اشتباه وارد کرد به مدت m دقیقه نتونه وارد بشه ؛ میگم با کوکی نمیشه تعداد دفعاتی که دکمه ورود رو میزنه رو ثبت کنیم بعد اینکه به مقدار n رسید ... (چی نه! نمیشه!) چرا كوكي ؟!!! به نظرم راه بهتر براي جلوگيري از وارد شدن فردي كه اره رمز عبور را اشتباه ميده اينه كه بيايم يه سشن در نظر بگيرم هر بار كه اشتباه وارد كرد يكي بهش اصضفه كنيم وقتي اين سشن به مفدار دلخواه رسيد ديگه طرف نتونه بره مدت زماني وارد بشه. باز مي گم اين ربطي به هك و نفوذ نداره هكر دوباره بعد از مثلآ 15 دقيقه ديگه دوباره مياد و رمز هاي ديگرو امتحان ميكنه اينجوريم نيست كه بشينه شانسي 30-40 تا رمز بده تا كدومش درست در بياد. DaRiOuShJh25-10-2008, 01:11 AMاین موضوع پارامترهای ثابت ای داره مثله وارد نکردن یوزر نیم و پسورد در جاهایی که نمیدونید و نمیشناسید و .... همینطور پارامترهای متغیره خیلی بیشتری داره که سیستم به سیستم فرق میکنه مثلا فلان Cms از فلان ناحیه مشکله امنیتی داره و .... as1385136525-10-2008, 09:12 AMکسی به سوال ما جواب نمی ده ؟ راستی چطوری می شه مانند این سایت جلوی ارسال پست های پشت سر هم رو از کاربر گرفت ! ( با این نکته که کاربر عضو سایت نیست ) اگر دقت کرده باشید انجمن ها یه تایم برای هر پست در نظر می گیرن مثلا شما نمی تونید در انجمن کمتر از 30 ثانیه دو تا پست بدید و باید برای پست دوم 30 ثانیه صبر کنید ! من این کار رو برای عضو های سایت بلد هستم ولی برای کاربرانی که عضو نیستند و می خوان مطلبی رو برای سایت ارسال کنند ( سایت این امکان رو براشون داره که بدون عضو شدن کاربران بتونند پیغام بدن ) مابین هر دو مطلب یک وقفه 30 ثانیه ای ایجاد کنم من هم با نظر zibatarin nam در پست 4 و 5 موافق هستم ! یعنی دوستان بیشتر برای نفوذ به سایت کار نکنند کمی هم برای بالا بردن امنیت کاری بکنند ! مثلا از این راهها می شه سایت رو -- کرد ولی راه جلو گیریش هم این است !!! یک مثال : هیچ وقت مقادیری رو که از کابر می گیرید به صورت مستقیم در کوریها وارد نکنید اول مقادیر رو از لحاظ درست بودن چک کنید بعد هر کاری خواستید بکنید ! مثلا برای دادن رتبه بیشتر دوستان از شماره استفاده می کنند مثلا 1 بد 2 متوسط 3 خوب 4 بسیار عالی حالا شما می آیدید و این داده ها رو با مقادیر موجود در بانک جمع می کنید و رتبه ای به پست خودتان می دید حالا اگر یکی بیاد و به جای این عدد ها مقدار -1000 رو به سایت ارسال کنه چی !!! DaRiOuShJh25-10-2008, 12:25 PMمن این کار رو برای عضو های سایت بلد هستم ولی برای کاربرانی که عضو نیستند و می خوان مطلبی رو برای سایت ارسال کنند ( سایت این امکان رو براشون داره که بدون عضو شدن کاربران بتونند پیغام بدن ) مابین هر دو مطلب یک وقفه 30 ثانیه ای ایجاد کنم نیازی به کد نویسیه مستقیم نیست هر سیستم انجمنی برای خودش mod های متعددی در این زمینه ها داره mohan2126-10-2008, 09:43 PMاجازه هست یه چیز بگم ! خوب میگم ... چطور از ارسال داده های مخرب جلوگیری کنیم ! اصلا یکی بگه این کدهای مخرب چی هستند ! چطور از ارسالشون جلوگیری کنیم ! zibatarin nam26-10-2008, 10:11 PMاجازه هست یه چیز بگم ! خوب میگم ... چطور از ارسال داده های مخرب جلوگیری کنیم ! اصلا یکی بگه این کدهای مخرب چی هستند ! چطور از ارسالشون جلوگیری کنیم ! همونطور كه تو صفحه قبل گفتم يه سر به اون تاپيك بزنيد چيزاي خوبي به دستتون مياد اينم آدرسش: !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! روشهاي ديگه اي اگه بره هك شدن سراغ داريد بگيد وراه مقابلشو اينجوري بهتره neopersia27-10-2008, 01:07 AMکاری که از دست برنامه نویس بر میاد اینه که به داده هایی که از خارج وارد اسکرپت میشن یا احتمال آلوده شدنشون هست اعتماد نکنه! تا همین حد اگر مراقب باشید جلوی خیلی از حمله ها گرفته میشه. یه چیزی هم بگم! تا وقتی که بر اصول کار مسلط نشدید و ماهیت اطلاعاتی رو که باهاش کار میکنید و به دست مفسر Php میرسه درک نکردید دنبال امنیت نرید چون باعث میشه بیشتر قاطی کنید. as1385136527-10-2008, 08:30 AMنیازی به کد نویسیه مستقیم نیست هر سیستم انجمنی برای خودش mod های متعددی در این زمینه ها داره آقا داریوش ممنون ولی !! من از هیچ مدیریت محتوایی و هیچ برنامه آماده استفاده نمی کنم ! من خودم به تازگی شروع به نوشتن یک سایت کردم برای همین هم است که چنین سوالی رو پرسیدم آخه وقتی تو انجمن بخواهی دو تا پست رو کمتر از 30 ثانیه بدی پست دومی رو ثبت نمی کنه و می گه که بعد از مثلا 20 ثانیه دیگه سعی کنید . حالا من در سایتی که دارم می سازم یک قسمتی رو برای ثبت نظرات قرار دادم که کاربران بتونند نظراتشون رو بگن ! اصلا یه سوال : منظور از -- کردن نفوذ به سایت است حالا اگر کسی بیاد و بدون این که چیزی از -- حالیش باشه مرتب فرم ثبت نظر رو پر کنه و ارسال کنه بعد دکمه back رو بزنه و دوباره ارسال کنه ( طرف عجب آدم بیکاری هست ) چی ؟ یه کمی پیشرفته تر : اگر کمی از برنامه نویسی حالیش باشه و بیاد یک صفحه درست کنه و یک حلقه بزاره و مثلا فرم ارسال نظر رو داخل این حلقه ارسال کنه چی ؟ الته برای این کار می شه یه کار هایی کرد مثلا : در برنامه خودمان ببینیم که اطلاعات از کجا می آیند یعنی اگر از صفحه ای که ما طراحی کردیم این اطلاعات آمدند که اجازه ثب رو بهش بدیم در غیره این صورت نه ! حالا برای ایجاد تاخیر در ارسال دو پست از یک کامپیوتر چه راهی روجود داره ؟ فکر کنم باید از آی پی استفاده کنم آیا این کار درست است یا نه ؟ ( چون مطالبی در این انجمن خوندم که ممکنه کاربری اصلا آی پی نداشته باشه برای این چه کاری می شه کرد ؟) DaRiOuShJh27-10-2008, 01:12 PM1. اینقد پست کنه که باد کنه! مشکلی نداره!×! اگر زمان مثلا 30 ثانیه ای بینه هر پست از هر IP باشه یارو باید واقعا بیکار باشه!×! 2. دیگه خیلی خیلی بیکار و افشرده و خسته باید باشه!!! که از این کارا بکنه!×! در هر صورت ممکنه با برنامه هایی که خودمون بخوایم بنویسیم این چیزا امکان باشه ولی در cms ها و فروم ها این احتمال ها به حداقل میرسه در هر صورت این موضوعات بیشتر به spam مربوط میشه تا ---- ها mohan2127-10-2008, 08:51 PMاگر با برنامه هایی از قبیل فیلترشکن و ... وارد این سایت بشیم با پیغامی مواجه میشیم که ... و اجازه دسترسی نمیده ... این چجوریاست ...!!؟ mohan2110-11-2008, 10:50 PMاینجا همه خوابیدن .............. neopersia10-11-2008, 11:13 PMاگر با برنامه هایی از قبیل فیلترشکن و ... وارد این سایت بشیم با پیغامی مواجه میشیم که ... و اجازه دسترسی نمیده ... این چجوریاست ...!!؟ خوب جواب مشکلی نیست IP های مورد استفاده اون برنامه (حالا عمداً یا اتفاقی) رو بن کردن که نشه از اونجا وارد شد! سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 490]