واضح آرشیو وب فارسی:سایت ریسک: t=31471">محافظت از پسورد دیتابیس arashdanger 26 ارديبهشت 1384, 01:07سلام تازگی به یه مشکل برخوردم. اونم محافظت از پسورد دیتابیس تو برنامه هایی که تحت وب نوشته میشن. من معمولا پسورد دیتابیس رو توی یه فایل جدا ذخیره میکنم و فقط فایل .htaccess رو برای حفاظت از فایلم تنظیم میکنم. ولی تازگی یک از دوستانم با اینکه این کار رو کرده بود پسوردش هک شد و وقتی که پسورد رو عوض کرد و اسم فایل رو هم عوض کرد و... بازم هک شد(البته از طرف یکی از گروه های مشهور ایرانی) log های باقیمانده هم نشون میداد که اونها مستقیما فایلی که پسورد دیتابیس توش بوده رو باز کردن!!! حالا میخوام بدونم که چه روشهایی برای محافظت از چنین فایلهایی وجود داره؟ golden 26 ارديبهشت 1384, 08:46خوب شما از چه زبان برنامه نویسی استفاده میکنی؟ اگه سرور شما مطمئن باشه این امکان وجود نخواهد داشت که مجتویات فایل خونده بشه و تنها خروجی اون قابل مشاهده است. arashdanger 27 ارديبهشت 1384, 01:08ممنون از توجهتون من از php استفاده میکنم و به سرورم هم اطمینان نسبتا زیادی دارم ولی راههایی وجود دارن که حتی امنیت بالای سرور هم نمیتونه جلوی حملات رو بگیره. مثلا چند روز قبل یه برنامه به نامAWSTATS DEFACER توی سایت آشیانه دیدم که برای بدست آوردن آمار سایتهایی که رو سرورشون cpanel دارن هستش.(این برنامه از حفره های موجود در برنامه awstats استفده میکنه) همونطور که میدونین awstats آمار بازدید تک تک فایلها رو با آدرس دقیقشون مینویسه و هکر میتونه از این راه فایلهای روی سرور رو ببینه و خیلی راحت از اسم فایل حدس بزنه که مثلا پسورد دیتابیس تو کدوم فایل و تو چه آدرسی هست و تمام سعی خودش رو روی بدست آ وردن محتوی اون فایل متمرکز کنه!!! miladmovie 28 ارديبهشت 1384, 23:39والا به نظر من وقتی که اون ها بتوند فایل رو مستقیم باز کنند از دست من و تو کد نویس دیگه کاری برنمیاد ! یک روش هست که می شه می تونی کدهای Php رو رمز گذاری کنی ولی وقتی می گی که می تونند فایل رو باز کنند خب می تونند از راه های دیگه وارد بشند ! دقیقا بگو منظورت از باز کردن مستقیم فایل چی بوده ؟ ! arashdanger 29 ارديبهشت 1384, 00:37والا منم خودم نمیدونم که چطور همچین چیزی ممکنه ولی اینو میدونم که کسی به غیر از وب سرور خودم به فایل حاوی پسورد دیتابیس دسترسی پیدا کرده چون ip اون با مال سرور خودم فرق داشت arashdanger 29 ارديبهشت 1384, 00:41حالا میشه توضیح بدین که چطوری میشه کدهای php رو رمز گذاری کرد؟ miladmovie 30 ارديبهشت 1384, 13:16با این برنامه : oxygenws 31 ارديبهشت 1384, 11:18احتمالا سیستم عامل سرور دوستت ویندوز نیست؟؟؟ :d arashdanger 31 ارديبهشت 1384, 14:43والا ویندوز نیست لینوکس ولی نه از اون خوباش!!! یه لینوکس Fedora که فکر نکنم خیلی هم زود زود update بشه oxygenws 31 ارديبهشت 1384, 17:11احتمالا امکان استفاده از htaccess رو اون سرور غیر فعاله. راحت ترین راه برای مخفی کردن چنین اطلاعاتی اینه که توسعه اون فایل رو چیزی مثل PHP بذارید و اطلاعات به صورت کد php ذخیره بشه، نه یک فایل txt یا inc یا ... و بعد از این انکود کردن اون فایل توسط مثلا zend encoder taher007 06 خرداد 1384, 22:20احتمالا امکان استفاده از htaccess رو اون سرور غیر فعاله. راحت ترین راه برای مخفی کردن چنین اطلاعاتی اینه که توسعه اون فایل رو چیزی مثل PHP بذارید و اطلاعات به صورت کد php ذخیره بشه، نه یک فایل txt یا inc یا ... و بعد از این انکود کردن اون فایل توسط مثلا zend encoder این زند خیلی گرونه... راه دیگه ای برای انکود نیست؟(انکودی که تو هر سرور معمولی خونده بشه...) oxygenws 07 خرداد 1384, 00:07عموما نه. متاسفانه زند اپتیمایزر روی اکثر سرورها نصبه. در ضمن، این کار زیاد مهم نیست، به عنوان مثال می تونید فایل رو تو یک شاخه بالاتر (شاخه بالای www) بذارید، اینطوری --کمی-- امنیت بیشتر میشه. NabiKAZ 07 خرداد 1384, 04:50سلام این مقاله شاید بی ارتباط با این موضوع نباشه: نبی oxygenws 07 خرداد 1384, 16:16عذر می خوام، اما این مقاله در لینک مربوطه، ربطی به این بحث نداره. ممنون.
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 304]