parsasecurity

راهنمایی در مورد حفره امنیتی csrf در سایتم

6 پست در این موضوع قرار دارد

سلام روز بخیر دوستان

من یه سایت وردپرسی دارم که حدود یک ماه پیش سرور های هاستم خودشون تصمیم گرفتن به دلیل کهنه شدن یه سری از سرورهاشون ، اونو تغییر بدن . و این خبر رو توی ایمیل به مشتریان دادن اونم روز پنجشنبه. تغییر در روز جمعه رخ داد  و من اصلا متوجه اون ایمیل و تغییر نشدم. تمام افزونه های وردپرسم غیر فعال شد. و وقتی یوزر پسورد ادمین رو زدم دیدم تغییر کرده و نام کاربری رو کرده sniper :|  و باعث شد حفره امنیتی csrf به وجود بیاد. به هاستینگ پیام دادم   گفتن ما تخصص در برنامه نویسی نداریم . و باید از فریلنسر ها کمک بگیرید :(

کسی می تونه برای حل این مشکل کمک کنه ؟

0

به اشتراک گذاری این پست


لینک به پست

واقعا کسی نمیتونه در این مورد منو راهنمایی کنه؟ چرا انجمن مثل قبل نیست دیگه؟

0

به اشتراک گذاری این پست


لینک به پست

به phpmyadmin سایتتون دسترسی دارین؟

اگه دارین وارد phpmyadmin بشین جدول users رو باز کنین نام کاربری ادمین رو پیدا کنین و مقدار user_pass رو به d8e423a9d5eb97da9e2d58cd57b92808  تغییر بدید
حالا میتونین با نام کاربری ادمین و رمز 1234560 وارد سایت بشین .پلاگینها رو فعال کنین و پسوردتونو عوض کنین

1

به اشتراک گذاری این پست


لینک به پست

ممنون . بله . قبلا این کار رو انجام داده بودم . و مشکل ورودم حل شده بود

اما مشکلم الان حفره امنیتی csrf هستش که نمی دونم چطور برطرفش کنم... 

0

به اشتراک گذاری این پست


لینک به پست
در در 9/8/2019 at 12:40، Mobin گفته است :

به phpmyadmin سایتتون دسترسی دارین؟

اگه دارین وارد phpmyadmin بشین جدول users رو باز کنین نام کاربری ادمین رو پیدا کنین و مقدار user_pass رو به d8e423a9d5eb97da9e2d58cd57b92808  تغییر بدید
حالا میتونین با نام کاربری ادمین و رمز 1234560 وارد سایت بشین .پلاگینها رو فعال کنین و پسوردتونو عوض کنین

ممنون . بله . قبلا این کار رو انجام داده بودم . و مشکل ورودم حل شده بود

اما مشکلم الان حفره امنیتی csrf هستش که نمی دونم چطور برطرفش کنم...

 

0

به اشتراک گذاری این پست


لینک به پست

خود وردپرس فکر نکنم همچین مشکلی داشته باشه اگر هم گزارش بشه قطعا اگه به اخرین نسخه بروز رسانی کنین مشکل از بین میره
 

نقل قول

حمله CSRF که به معنی جعل درخواست از سایت های دیگر است. این حمله کاربر نهایی را مجبور می کند که عملی را به صورت ناخواسته روی یک Web Application که قبلا کاربر فرآیند Authentication را روی آن اجرا کرده است، انجام دهد. هدف حمله CSRF به طور مشخص، تغییر حالت است و نه دزدیدن اطلاعات، زیرا حمله کننده هیچ راهی برای دیدن پاسخ جعل شده نخواهد داشت. با کمی کمک گرفتن از مهندسی اجتماعی مانند ارسال یک لینک از طریق ایمیل یا چت، یک حمله کننده می تواند با فریب کاربران یک وب اپلیکیشن، درخواست های حمله کننده را اجرا کند. اگر قربانی یک کاربر معمولی باشد، یک حمله موفق CSRF می تواند کاربر را مجبور کند که یک درخواست تغییر حالت (State Changing Request) مانند انتقال وجه، تغییر آدرس ایمیل یا… انجام دهد. اگر قربانی مدیر یک اکانت باشد، حمله CSRF می تواند تمام نرم افزار وب را به خطر بیاندازد. به حملات CSRF ، حملات «XSRF» نیز می گویند.

 

0

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری