uploader333

باگ های sql injection

8 پست در این موضوع قرار دارد

سلام دوستان

ما چطوری می تونیم بفهمیم که سایتمون باگ های sql injection داره؟ یک آدم غیر حرفه ای می تونه با کمک نرم افزار خاصی با روش حاصی این باگ ها را شناسایی و رفع کنه؟

0

به اشتراک گذاری این پست


لینک به پست

از طریق نرم افزار های امنیتی سایتت رو انالیز بکن مثل نسوس تو نت بگردی پیدا می کنی اگه سایتت وردپرسیه اگه بروز باشه مشکلی نیست میمونه افزونه ها که باید تو نت چک کنی که مشکل داره یا نه رفع کردن باگ هم برمیگرده به دانش برنامه نویسی خودت اگه برخی از تنظیمات امنیتی و اموزش هایی که تو سایت هست انجام بدی با وجود باگ هم احتمال هک توسط هکر های تازه کار کم میشه

1

به اشتراک گذاری این پست


لینک به پست

با نرم افزار هایی که هکر ها واسه هک کردن استفاده میکنند, شما واسه بالا بردن امنیت استفاده کنید

اکانتیس و...

گوگل هم میتونه باگ ها رو به شما معرفی کنه (فکر کنم بخش وبمستر باشه...)

1

به اشتراک گذاری این پست


لینک به پست

از طریق نرم افزار های امنیتی سایتت رو انالیز بکن مثل نسوس تو نت بگردی پیدا می کنی اگه سایتت وردپرسیه اگه بروز باشه مشکلی نیست میمونه افزونه ها که باید تو نت چک کنی که مشکل داره یا نه رفع کردن باگ هم برمیگرده به دانش برنامه نویسی خودت اگه برخی از تنظیمات امنیتی و اموزش هایی که تو سایت هست انجام بدی با وجود باگ هم احتمال هک توسط هکر های تازه کار کم میشه

دوست عزیز من از خود سایت اصلیش که می خوام نسوس را دانلود کنم....تو قسمت دانلود از ما سیستم عامل را می پرسه.. ب مثلا" برای برای ویندوز فقط ویندوز سرورو داره .. ایا منظور ش اینه که باید بر اساس نوع سیستم عاملی که سایت ما روش نصبه انتخاب کنیم؟ یا سیستم عامل خودمون؟ چون هیچ نسخه ای مثلا" برای ویندوز 7 یا ویندوز xp نداره....

با نرم افزار هایی که هکر ها واسه هک کردن استفاده میکنند, شما واسه بالا بردن امنیت استفاده کنید

اکانتیس و...

گوگل هم میتونه باگ ها رو به شما معرفی کنه (فکر کنم بخش وبمستر باشه...)

دوست عزیز می شه لطفا" بگید کدوم بخش گوگل وب مستره؟ چون من هر چی گشتم چیزی پیدا نکردم

0

به اشتراک گذاری این پست


لینک به پست

دوست عزیز من از خود سایت اصلیش که می خوام نسوس را دانلود کنم....تو قسمت دانلود از ما سیستم عامل را می پرسه.. ب مثلا" برای برای ویندوز فقط ویندوز سرورو داره .. ایا منظور ش اینه که باید بر اساس نوع سیستم عاملی که سایت ما روش نصبه انتخاب کنیم؟ یا سیستم عامل خودمون؟ چون هیچ نسخه ای مثلا" برای ویندوز 7 یا ویندوز xp نداره....

دوستمون که گفتن اکانتیس چون این نرم افزار پولیه و تو نت نسخه های کرک شدش موجود هست توصیه نمیشه ولی نمی گم کار نمی کنه و نمیشه 100 درصد بهش اعتماد کرد

برای نسوس هم شما با توجه به سیستم عامل خودتون( کامپیوتر شخصی خودت 32 بیتی یا 64) دانلود کن

نسوس هم تجاریه ولی اگه به صورت home استفاده کنید رایگان هستش قبل از نصب اموزش های نصب موحود تو نت رو بخون چون باید تو سایت نسوس ایمیلتو وارد کنی تا لایسنس برای نسخه home بهت بده

اگه هم حوصله این همه کار رو نداری بهتره اکانتیس رو نصب کنی و حالشو ببری :)

1

به اشتراک گذاری این پست


لینک به پست

با سلام چند نکته که باید اضافه بکنم :

باگ SQL inj فقط یک نوع نیست که بشه با قرار دادن ' مشخص بشه زمانی هست که باگ از نوع Time Base هست و با قرار دادن هم سایت باز Load میشود و خطایی نشون نمیدهد پس به عبارت دیگر یکی از راه های تشخیص ' هست

در مورد اسکنر ها هر دومناسب هستند اما نسوس مزیت هایی دارد که انشالله کامل توضیح میدهم اما برای نصب حتما باید با آی پی غیر از ایران دانلود کنید و سپس پلاگین ها رو بر روی آن نصب کنید

در مورد پچ کردن باگ قبلا صحبت کردم شما باید کاراکتر ها را در مقدار ورودی محدود کنید تا بشه مقدار زیادی جلو آن گرفت اما باز راه بایپس به اشکال مختلف با متود های مختلف موجود هست (امنیت 100% نیست)

4

به اشتراک گذاری این پست


لینک به پست

درود

کد زیر به httacess اضافه کنید:


<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|ê|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]
</IfModule>

نکته: شما باید جوری مانع بشید که هکر حتی اگر تونست یوزر و پسورد به دست بیاره نتونه به پنل مدیریت لاگین بشه!

1-با قفل کردن پنل مدیریت

2-انتقال پنل و ساخت صفحه لاگین جعلی

اکثر افزونه ها خود دارای مشکل هستند

0

به اشتراک گذاری این پست


لینک به پست

همون طور که مهدی عزیز گفت در باگ sql injection همیشه اخطار موجب فهمیدن باگ نمیشه

باگ sql injection گاهی اوقات ارور در خود صفحه مشاهده نمیشه و باید سورس صفحه رو برسی کرد حتی زمانی که اقدام به اجرای دستورات در کوئری میکنی خروجی توی سورس میاد که در صفحه قابل مشاهده نیست

شما میتونی سورس صفحه رو با rips اسکن کنی اموزشش در سطح اینترنت موجوده همچنین خودم قبلا اموزش تهیه کردم همچنین اسکنر هایی مثل اکانتیکس و vega استفاده کنید

0

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری