رفتن به مطلب

باگ های sql injection


uploader333

پست های پیشنهاد شده

سلام دوستان

ما چطوری می تونیم بفهمیم که سایتمون باگ های sql injection داره؟ یک آدم غیر حرفه ای می تونه با کمک نرم افزار خاصی با روش حاصی این باگ ها را شناسایی و رفع کنه؟

لینک به ارسال

از طریق نرم افزار های امنیتی سایتت رو انالیز بکن مثل نسوس تو نت بگردی پیدا می کنی اگه سایتت وردپرسیه اگه بروز باشه مشکلی نیست میمونه افزونه ها که باید تو نت چک کنی که مشکل داره یا نه رفع کردن باگ هم برمیگرده به دانش برنامه نویسی خودت اگه برخی از تنظیمات امنیتی و اموزش هایی که تو سایت هست انجام بدی با وجود باگ هم احتمال هک توسط هکر های تازه کار کم میشه

لینک به ارسال

با نرم افزار هایی که هکر ها واسه هک کردن استفاده میکنند, شما واسه بالا بردن امنیت استفاده کنید

اکانتیس و...

گوگل هم میتونه باگ ها رو به شما معرفی کنه (فکر کنم بخش وبمستر باشه...)

لینک به ارسال

از طریق نرم افزار های امنیتی سایتت رو انالیز بکن مثل نسوس تو نت بگردی پیدا می کنی اگه سایتت وردپرسیه اگه بروز باشه مشکلی نیست میمونه افزونه ها که باید تو نت چک کنی که مشکل داره یا نه رفع کردن باگ هم برمیگرده به دانش برنامه نویسی خودت اگه برخی از تنظیمات امنیتی و اموزش هایی که تو سایت هست انجام بدی با وجود باگ هم احتمال هک توسط هکر های تازه کار کم میشه

دوست عزیز من از خود سایت اصلیش که می خوام نسوس را دانلود کنم....تو قسمت دانلود از ما سیستم عامل را می پرسه.. ب مثلا" برای برای ویندوز فقط ویندوز سرورو داره .. ایا منظور ش اینه که باید بر اساس نوع سیستم عاملی که سایت ما روش نصبه انتخاب کنیم؟ یا سیستم عامل خودمون؟ چون هیچ نسخه ای مثلا" برای ویندوز 7 یا ویندوز xp نداره....

با نرم افزار هایی که هکر ها واسه هک کردن استفاده میکنند, شما واسه بالا بردن امنیت استفاده کنید

اکانتیس و...

گوگل هم میتونه باگ ها رو به شما معرفی کنه (فکر کنم بخش وبمستر باشه...)

دوست عزیز می شه لطفا" بگید کدوم بخش گوگل وب مستره؟ چون من هر چی گشتم چیزی پیدا نکردم

لینک به ارسال

دوست عزیز من از خود سایت اصلیش که می خوام نسوس را دانلود کنم....تو قسمت دانلود از ما سیستم عامل را می پرسه.. ب مثلا" برای برای ویندوز فقط ویندوز سرورو داره .. ایا منظور ش اینه که باید بر اساس نوع سیستم عاملی که سایت ما روش نصبه انتخاب کنیم؟ یا سیستم عامل خودمون؟ چون هیچ نسخه ای مثلا" برای ویندوز 7 یا ویندوز xp نداره....

دوستمون که گفتن اکانتیس چون این نرم افزار پولیه و تو نت نسخه های کرک شدش موجود هست توصیه نمیشه ولی نمی گم کار نمی کنه و نمیشه 100 درصد بهش اعتماد کرد

برای نسوس هم شما با توجه به سیستم عامل خودتون( کامپیوتر شخصی خودت 32 بیتی یا 64) دانلود کن

نسوس هم تجاریه ولی اگه به صورت home استفاده کنید رایگان هستش قبل از نصب اموزش های نصب موحود تو نت رو بخون چون باید تو سایت نسوس ایمیلتو وارد کنی تا لایسنس برای نسخه home بهت بده

اگه هم حوصله این همه کار رو نداری بهتره اکانتیس رو نصب کنی و حالشو ببری :)

لینک به ارسال

با سلام چند نکته که باید اضافه بکنم :

باگ SQL inj فقط یک نوع نیست که بشه با قرار دادن ' مشخص بشه زمانی هست که باگ از نوع Time Base هست و با قرار دادن هم سایت باز Load میشود و خطایی نشون نمیدهد پس به عبارت دیگر یکی از راه های تشخیص ' هست

در مورد اسکنر ها هر دومناسب هستند اما نسوس مزیت هایی دارد که انشالله کامل توضیح میدهم اما برای نصب حتما باید با آی پی غیر از ایران دانلود کنید و سپس پلاگین ها رو بر روی آن نصب کنید

در مورد پچ کردن باگ قبلا صحبت کردم شما باید کاراکتر ها را در مقدار ورودی محدود کنید تا بشه مقدار زیادی جلو آن گرفت اما باز راه بایپس به اشکال مختلف با متود های مختلف موجود هست (امنیت 100% نیست)

لینک به ارسال
  • 5 ماه بعد...

درود

کد زیر به httacess اضافه کنید:


<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|ê|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]
</IfModule>

نکته: شما باید جوری مانع بشید که هکر حتی اگر تونست یوزر و پسورد به دست بیاره نتونه به پنل مدیریت لاگین بشه!

1-با قفل کردن پنل مدیریت

2-انتقال پنل و ساخت صفحه لاگین جعلی

اکثر افزونه ها خود دارای مشکل هستند

لینک به ارسال

همون طور که مهدی عزیز گفت در باگ sql injection همیشه اخطار موجب فهمیدن باگ نمیشه

باگ sql injection گاهی اوقات ارور در خود صفحه مشاهده نمیشه و باید سورس صفحه رو برسی کرد حتی زمانی که اقدام به اجرای دستورات در کوئری میکنی خروجی توی سورس میاد که در صفحه قابل مشاهده نیست

شما میتونی سورس صفحه رو با rips اسکن کنی اموزشش در سطح اینترنت موجوده همچنین خودم قبلا اموزش تهیه کردم همچنین اسکنر هایی مثل اکانتیکس و vega استفاده کنید

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...