اموزش امنیت سایت

این تاپیک 5 پاسخ و 3 مشارکت کننده دارد . آخرین آپدیت توسط :  N a S e R ،‏ 3 سال پیش .

این تاپیک تاکنون 1307 بازدید داشته است .

نویسنده پست
سه شنبه ، 3 دسامبر 2013     1:15 ق.ظ #


N a S e R

Subscriber
45 پست15 تاپیک

من طبق اموزشهای شما و سایت های مشابه جلو رفتم الحق که خوبم پیشرفت کردم!!!!!

من یک CMS طراحی کردم خوب جواب میداد یواش یواش هم داشت کامل میشد تا اینکه یه روز تمام ایدی های عضو سایتم همشون تبدیل شدن به هک بای فلانی به نقل یکی از دوستان  این سایت نظر داده بود ما فقط بلدیم خلق کنیم نه تخریب اینو باید بگم در این سایت باید یه قسمتی اضافه بشه به اسم امنیت سایت که هر سری پیشرفت کنه

خلاصه خیلی پیگیر شدم چطوری اخه اینجوری شد ( خیلی بده ادم ضربه بخوره ولی ندونه از کجا خورده ) بعد دو هفته سرچ متوجه شدم از باگ اس کیو ال هست فرض کنید صفحه شما

بالا میاد حالا اخر 32 علامت کاما میزارن ' با این علامت صفحه خطا میده

حال با استفاده از این خطا وارد بانک میشن  و میتونن تمام بانکتو ببین و یوز و پسوردو از اونجا میکشن بیرون و وارد پروپایل میشن و همه نامها را چنج میدن

 

اما در خواست من میخوام تو سایت یه قسمت ایجاد کنید که راهای نفوذ به سایت و جلوگیریشو اموزش بدن

2  تشکر
سه شنبه ، 3 دسامبر 2013     11:36 ق.ظ #


کیوان علی محمدی

Authorplus
VIP
1792 پست4 تاپیک

سلام دوست عزیز،شما باید در طراحی و کد نویسی این موارد رو حتما لحاظ میکردید،SQL Injection فقط یکی از مواردی هست که میشه باهاش هک کرد،البته با چند خط کد ساده میشه جلوشو گرفت،اما تکنیک های دبگه مثل CSRF،XSS,Session Hijacking,Session Fixation و ... هم برای هک کردن وجود داره؛که بهترین راه ایجاد یک موتور امنیتی برای سایت هست که تمام این موارد رو رعایت کرده باشه،اگه خودتون بخواین بنویسین علاوه بر دانش این کار باید برنامه (plan)خوبی هم براش نوشتنش داشته باشین تا کارایی خودش رو داشته باشه،یادمه یه CMS بود که با شناسایی حمله SQL Injection حتی به مقدار خیلی کم مثل همین تک کوتیشن سریع IP مورد نظر رو Ban میکرد و تا چند روز بهش اجازه دسترسی به سایت رو نمیداد(این برنامه میتونه خیلی بسط پیدا کنه تا امن تر باشه)،پیشنهادم اینه حتما برای طراحی CMS از فریمورک های آماده (YII,Fuel,CodeIgniter ...) استفاده کنید که هم حجم کد نویسی شما خیلی کمتر میشه و هم امنیت شما تا حد قابل قبولی بالا میره،به فکر آموزش امنیت هم هستیم انشاالله.

4  تشکر
سه شنبه ، 3 دسامبر 2013     8:08 ب.ظ #


حسین

Subscriber
70 پست60 تاپیک

دوست عزيز اين مقاله رو بخون كمكت مي كنه
http://phpro.ir/wp-content/uploads/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%AF%D8%B1-php.pdf

2  تشکر
سه شنبه ، 3 دسامبر 2013     10:40 ب.ظ #


N a S e R

Subscriber
45 پست15 تاپیک

[quote=18744]سلام دوست عزیز،شما باید در طراحی و کد نویسی این موارد رو حتما لحاظ میکردید،SQL Injection فقط یکی از مواردی هست که میشه باهاش هک کرد،البته با چند خط کد ساده میشه جلوشو گرفت،اما تکنیک های دبگه مثل CSRF،XSS,Session Hijacking,Session Fixation و ... هم برای هک کردن وجود داره؛که بهترین راه ایجاد یک موتور امنیتی برای سایت هست که تمام این موارد رو رعایت کرده باشه،اگه خودتون بخواین بنویسین علاوه بر دانش این کار باید برنامه (plan)خوبی هم براش نوشتنش داشته باشین تا کارایی خودش رو داشته باشه،یادمه یه CMS بود که با شناسایی حمله SQL Injection حتی به مقدار خیلی کم مثل همین تک کوتیشن سریع IP مورد نظر رو Ban میکرد و تا چند روز بهش اجازه دسترسی به سایت رو نمیداد(این برنامه میتونه خیلی بسط پیدا کنه تا امن تر باشه)،پیشنهادم اینه حتما برای طراحی CMS از فریمورک های آماده (YII,Fuel,CodeIgniter ...) استفاده کنید که هم حجم کد نویسی شما خیلی کمتر میشه و هم امنیت شما تا حد قابل قبولی بالا میره،به فکر آموزش امنیت هم هستیم انشاالله.[/quote]

ممنون از پاسخ کاملتون من اگر بخوام جلوی SQL Injection بگیرم، فقط باید جلوی خطای پی اچ پیشو بگیرم که خطا نده؟

یه دستوری هست که تو پی اچ پی که اگر بزنی دیگه هیچ خطایی رو نمایش نمیده همونو بزنم کافیه یا نه؟

اگر لطف کنید منبعی اموزشی برای جلوگیری خطای SQL Injection بدی ممنون میشم یا خودتون لطف کنید چطوری باید جلوی اینو بگیرم.

فکر کنم اموزش امنیت سایت به مراتب خیلی سخت تر از طراحی سایت هست سایت بدون امنیت هم یعنی پوچ اینجوریش که بوش میاد بایدطراحی سی ام اسمو بزارم کنار و از سی ام اس های اماده مثل جملا و وردپرس استفاده کنم که اینجوری ضربه نخورم

1  تشکر
سه شنبه ، 3 دسامبر 2013     11:20 ب.ظ #


کیوان علی محمدی

Authorplus
VIP
1792 پست4 تاپیک

نه دوست عزیز،جلوگیری از نمایش خطا کاری رو از پیش نمیبره،بهتره از فریمورک های آماده استفاده کنی،برای escape کردن داده های ورودی کاربر میتونی از توابعی مثل mysql_real_escape_string  و چند تا تابع دیگه استفاده کنی،البته اینا باید به صورت ترکیبی باشن تا بهتر جواب بدن،برای آدرس های url هم یه تابع باید بنویسی که مقدار url رو در هر صفحه دریافت کنه و وجود کاراکتر های غیر مجاز رو داخلش بررسی کنه و بعد اگه مقداری پیدا کرد فوری صفحه رو die کنه و پیغام نشون بده.منبع خوب فارسی باید برید سراغ منابع انگلیسی.حتما لازم نیست از CMS های اماده استفاده کنید،اگه واقعا قصد دارید برا خودتون یه چیز جدید بسازید خوب فقط باید نکاتش رو رعایت کنید.موفق باشید

1  تشکر
چهار شنبه ، 4 دسامبر 2013     11:43 ب.ظ #


N a S e R

Subscriber
45 پست15 تاپیک

ببخشید بابت اینکه هی پست میزارم چون  این موضوع خیلی برام مهمه

یه جا نوشته بود برای جلوگیری SQL Injection کافیه از این دو پارامتر استفاده کنید.

اگر عدد هست intval مانند مثال زیر

و اگر غیر از عدد هست از mysql_real_escape_string برای مثال

به نظر شما استفاده از این دو پارامتر برای جلوگیری از SQL Injection کافیه؟

گفتین از فریم ورک استفاده کنید تا حالا اسمش هم نشنیدم ببینم چیه میرم دونبالش من طراحی سایتو به صورت تجربی و پشت کار یاد گرفتم کلاسی نرفتم :))

یه پیشنهاد واجب یه بخش تو سایت درست کنید کنه به امنیت سایت بپردازه چون واقعا سایت 7learn کامل هست فقط جای خالی این قسمت احساس میشه.

به نظر من امنیت سایت از طراحی سایت هم واجب تره

1  تشکر
پست 1 تا 6 (از مجموع 6 پست)

برای پاسخ دادن به این تاپیک باید وارد سایت شوید .