رفتن به مطلب

راهنمایی در مورد حفره امنیتی csrf در سایتم


پست های پیشنهاد شده

سلام روز بخیر دوستان

من یه سایت وردپرسی دارم که حدود یک ماه پیش سرور های هاستم خودشون تصمیم گرفتن به دلیل کهنه شدن یه سری از سرورهاشون ، اونو تغییر بدن . و این خبر رو توی ایمیل به مشتریان دادن اونم روز پنجشنبه. تغییر در روز جمعه رخ داد  و من اصلا متوجه اون ایمیل و تغییر نشدم. تمام افزونه های وردپرسم غیر فعال شد. و وقتی یوزر پسورد ادمین رو زدم دیدم تغییر کرده و نام کاربری رو کرده sniper :|  و باعث شد حفره امنیتی csrf به وجود بیاد. به هاستینگ پیام دادم   گفتن ما تخصص در برنامه نویسی نداریم . و باید از فریلنسر ها کمک بگیرید :(

کسی می تونه برای حل این مشکل کمک کنه ؟

لینک به ارسال

به phpmyadmin سایتتون دسترسی دارین؟

اگه دارین وارد phpmyadmin بشین جدول users رو باز کنین نام کاربری ادمین رو پیدا کنین و مقدار user_pass رو به d8e423a9d5eb97da9e2d58cd57b92808  تغییر بدید
حالا میتونین با نام کاربری ادمین و رمز 1234560 وارد سایت بشین .پلاگینها رو فعال کنین و پسوردتونو عوض کنین

لینک به ارسال
در در 9/8/2019 at 12:40، Mobin گفته است :

به phpmyadmin سایتتون دسترسی دارین؟

اگه دارین وارد phpmyadmin بشین جدول users رو باز کنین نام کاربری ادمین رو پیدا کنین و مقدار user_pass رو به d8e423a9d5eb97da9e2d58cd57b92808  تغییر بدید
حالا میتونین با نام کاربری ادمین و رمز 1234560 وارد سایت بشین .پلاگینها رو فعال کنین و پسوردتونو عوض کنین

ممنون . بله . قبلا این کار رو انجام داده بودم . و مشکل ورودم حل شده بود

اما مشکلم الان حفره امنیتی csrf هستش که نمی دونم چطور برطرفش کنم...

 

لینک به ارسال

خود وردپرس فکر نکنم همچین مشکلی داشته باشه اگر هم گزارش بشه قطعا اگه به اخرین نسخه بروز رسانی کنین مشکل از بین میره
 

نقل قول

حمله CSRF که به معنی جعل درخواست از سایت های دیگر است. این حمله کاربر نهایی را مجبور می کند که عملی را به صورت ناخواسته روی یک Web Application که قبلا کاربر فرآیند Authentication را روی آن اجرا کرده است، انجام دهد. هدف حمله CSRF به طور مشخص، تغییر حالت است و نه دزدیدن اطلاعات، زیرا حمله کننده هیچ راهی برای دیدن پاسخ جعل شده نخواهد داشت. با کمی کمک گرفتن از مهندسی اجتماعی مانند ارسال یک لینک از طریق ایمیل یا چت، یک حمله کننده می تواند با فریب کاربران یک وب اپلیکیشن، درخواست های حمله کننده را اجرا کند. اگر قربانی یک کاربر معمولی باشد، یک حمله موفق CSRF می تواند کاربر را مجبور کند که یک درخواست تغییر حالت (State Changing Request) مانند انتقال وجه، تغییر آدرس ایمیل یا… انجام دهد. اگر قربانی مدیر یک اکانت باشد، حمله CSRF می تواند تمام نرم افزار وب را به خطر بیاندازد. به حملات CSRF ، حملات «XSRF» نیز می گویند.

 

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...