مخفی کردن اسکریپت ها از دید کاربر

این تاپیک 14 پاسخ و 3 مشارکت کننده دارد . آخرین آپدیت توسط :  reza____ebliser ،‏ 1 سال و 3 ماه پیش .

این تاپیک تاکنون 896 بازدید داشته است .

نویسنده پست
سه شنبه ، 14 جولای 2015     5:27 ب.ظ #


shima arabi

Subscriber
99 پست29 تاپیک

سلام به همه دوستان

توی یک سایت به موارد امنیتی برخوردم که باید برای یک سایت رعایت بشه یکی از این ها پنهان کردن اسکریپت ها از دید کاربر بود عین جمله این بود:

Source Disclosure:

Scripts should be configured to be executables only, with no ability for a user to view them.

سوال من اینه که منظور از این اسکریپت ها چیه آیا تمام اسکریپت های جاوا در تمام فایل هارو شامل میشه یا اسکریپت های خاصی مد  نظره؟

و دیگه اینکه اصلا چطور باید این کار رو کرد؟

تشکر

0  تشکر
:: این تاپیک، پاسخ تائیدشده دارد : مشاهده پاسخ تائید شده توسط سوال کننده
شنبه ، 15 آگوست 2015     7:36 ب.ظ #


reza____ebliser

Subscriber
568 پست67 تاپیک

دوست عزیز در کل شما نباید ورژن سی ام اس سایت و اطلاعات افزونه ها و اسکریپت و پلاگین ها رو در اختیار دیگران قرار بدی

 

چونکه اگر افزونه ای ، اسکریپتی و حتی سی ام اس خاصی دارای باگ و مشکلات امینیتی باشه دیگران با توجه به ورژن شما میتونن از اون باگ مورد نظر منظبق با اون نسخه ای که شما استفاده میکنید ، استفاده کرده و برای شما دردسر ساز بشن

2  تشکر
یکشنبه ، 16 آگوست 2015     5:42 ب.ظ #


shima arabi

Subscriber
99 پست29 تاپیک

فکر نمیکنم این کار رو کرده باشم بنظر عاقلانه نمیاد

و فکر نمی کنم "پنهان نگه داشتن اسکریپت از دید کاربر" به معنای این باشه که دستی این اطلاعات رو به کسی بدیم یا ندیم.

تشکر

0  تشکر
یکشنبه ، 16 آگوست 2015     5:59 ب.ظ #


reza____ebliser

Subscriber
568 پست67 تاپیک

عزیز منظورم نبود که شما خودتون اطلاعات رو به کسی بدید

منظورم این هست که نباشد شخص بتونه اطلاعات رو از سایت شما بیرون بکشه

 

نمونه ساده ای که میتونم براتون مثال بزنم وردپرس هست

به طور پیشفرض شما میتونید ورژن وردپرس استفاده شده روی هر سایت رو ببینید به جز مواردی که شخص ورژن وردپرس رو با روش های موجود پنهان کرده باشه

برخی از اسکریپت ها دارای فایل licence.txt و readme.txt هستند که شما با وارد کردن اسم و آدرس مستقیم میتونید محتوای اونها رو مطالعه کنید توی مرورگر و حتی دریافتشون کنید این خودش نقص سایت شما هست چونکه با این کار اطلاعات ورژن اسکریپت و پلاگین استفاده شده شما در دسترس دیگران قرار میگیره

 

چند وقت پیش یک افزونه اسلایدر خیلی خوب و کاربردی مد شد که اکثراً ازش استفاده کردن ولی باگ امنیتی داشت و میتونستید با یک کوئری مناسب روی آدرس سایتی که از این افزونه استفاده کرده آدرس عکس های اسلایدر رو تغییر بدید و یک عکس از یک آدرسه دیگه مثلاً تبلیغ خودتون رو بارگزاری کنید و ذخیره میشد که بعد در نسخه های جدید تر مشکل بر طرف شد

حالا فرض کنید که شما دنبال سایت هایی که از این افزونه با ورژن 2.1 استفاده می کنند بگردید اون وقت اگر سایت شما اطلاعات رو پنهان نکرده باشید جزء لیست قرار میگیره و براتون دردسر درست میشه

 

 

2  تشکر
یکشنبه ، 16 آگوست 2015     6:10 ب.ظ #


shima arabi

Subscriber
99 پست29 تاپیک

خوب منم ابتدائا سوالم همین بود که چطوری باید این اسکریپت ها رو که گفتید پنهان کنم و منظور از اسکریپت ها کل اسکریپت های داخل فایل های سایته یا اسکریپت های خاصی رو شامل میشه

0  تشکر
یکشنبه ، 16 آگوست 2015     7:00 ب.ظ #


reza____ebliser

Subscriber
568 پست67 تاپیک

http://bigtheme.ir/%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D9%86%D9%85%D8%A7%DB%8C%D8%B4-%D9%86%D8%AF%D8%A7%D8%AF%D9%86-%D9%88%D8%B1%DA%98%D9%86-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3/

 

این مربوط به وردپرس

 

برای اسکریپت ها و پلاگین ها شما فایل های read و licence رو بردارید اوکی میشه جز اینکه پلاگین یا اسکریپتی که استفاده میکنید نصبی باشه ، منظور پلاگین نصب در وردپرس نیست منظروم پلاگین های متفاوت هست که خودشون جداگونه اینستالر دارن

 

2  تشکر
دوشنبه ، 17 آگوست 2015     3:52 ب.ظ #


shima arabi

Subscriber
99 پست29 تاپیک

چطور از یه سایتی میشه فهمید که cms ش چیه؟

و یا چه قالبی داره؟

0  تشکر
دوشنبه ، 17 آگوست 2015     4:12 ب.ظ #


محمد مهدی اکرمی

Subscriber
605 پست28 تاپیک

سلام دوست عزیز

شما باید خودت یکم دقت کنی ببینی مثلا سایت برای جاهای مختلف از چه خطاهایی استفاده میکنه . یا مثلا بری تو سورس صفحه آدرس ها رو ببینی و اسم فولدر ها رو چک کنی.

مثلا وردپرس یه فولدر داره به اسم wp-content که فایل های که آپلود میشن و محتوای قالب در اون جا هستن . شما اگر دیدی همچین چیزی رو میتونی بفهمی که wp هست .

حتی url هم یکی از این مشخصه ها هست .

خیلی چیز ها هست که میشه از روی اونها فهمید cms چیه

باید اول cms های مختلف رو بشناسی تا از روی اطلاعاتی که داری بری جلو .

شاید نرم افزارش باشه که شک دارم باشه .

موفق باشید ....  :)

2  تشکر
دوشنبه ، 17 آگوست 2015     5:02 ب.ظ #


reza____ebliser

Subscriber
568 پست67 تاپیک

دوست عزیز راحت ترین راه برای فهمیدن سی ام اس سایت ها صفحه لاگین سایت هست

 

شما تنها کافیه صفحه لاگین رو باز کنید

از آدرسش کاملاً مشخصه که چه سی ام اسی هست

همچنین از آدرس صفحات و نحوه url ها که دوست خوبمون محمد مهدی اکرمی لطف کردن و گفتن

 

شما نرم افزار هویج رو هم نصب بفرمایید وقتی یک سایت رو تست کنید آدرس (های) صفحه لاگین رو به شما میده

 

ولی اگر یه مدت توی نت باشید یا یک نگاه به ظاهر سایت کاملاً متوجه میشید به چه زبان و چه سی ام اسی سایت آماده شده

 

1  تشکر
شنبه ، 22 آگوست 2015     10:24 ب.ظ #


shima arabi

Subscriber
99 پست29 تاپیک

سلام با عرض معذرت مدتی نت نداشتم

این مسئله تشخیص cmsسایت هنوز برام روشن نشده میشه یه مثال بزنید مثلا در مورد این سایت ها بگید cms ش چیه و چطور بدستش اوردید akherinshop.ir و moojood.net

تشکر

0  تشکر
پست 1 تا 10 (از مجموع 15 پست)

این تاپیک پاسخ تائید شده دارد و بسته شده است .