نقطه ویرگول;

هر از گاهی از هر چیزی

هر از گاهی از هر چیزی

۷ مطلب با موضوع «امنیت» ثبت شده است

در یک شب کاری که کلی ژان گولر بازی در آوردیم, قبل از خواب یک دفعه می بینیم که سایت آقای ژان گولر تغییراتی پیدا کرده.
بعد از هر اسکریپت یک سری اطلاعات دیگه نمایش داده می شه!!!
کل فایل ها رو زیرو رو می کنیم ولی خبری از این اسکریپت اضافه نیست؟؟؟
نکته ای که اینجا هست(حداقل برای ما جالب بود) اینه که یک نفوذ گر محترم تونسته به فایل php.ini دسترسی پیدا کنه و
۴ نظر موافقین ۰ مخالفین ۰ ۲۲ فروردين ۹۱ ، ۱۳:۱۸
مرتضی فتحی
وردپرس اگر بهترین سیستم های مدیریت محتوای دنیا نباشه(که قطعن نیست) بدون اغراق شاید بشه گفت که محبوب ترین سیستم مدیریت محتواست و این کاملن طبیعیه اگر چشم همه به قدوبالای رعناش باشه :دی (حتی هکرها) بنابراین کاملن طبیعیه که بیشتر مورد حمله قرار می گیره و خوب بدون هیچ تعصبی باید عرض کنم که همیشه یکی از بزرگترین مشکلات وردپرس امنیتشه (هرچند شاید از خیلی از کدهایی که ما می نویسیم امن تر باشه :P) اما در این پست قصد داریم به راه هایی بپردازیم که با کارای کوچولویی می تونید امنیت سایتتون رو خیلی بالا ببرید. یـــــه برنامه ببینید... یـــــــه برنامه ببینید (اسمایلی مجید قناد :P)
۱۷ نظر موافقین ۰ مخالفین ۰ ۱۵ اسفند ۹۰ ، ۱۴:۱۰
مرتضی فتحی
تنظیمات وب سرور یکی از موارد همیشه چالش دار بوده( به نظر من ). اگه با وب سروری مثل Apache آشنایی کافی داشته باشید و البته دسترسی لازم به سرور, به راحتی می تونید Apache رو Optimize کنید. ولی در بسیاری از سرور ها یا هاستینگ ها شما تنها به فایل htaccess. دسترسی دارید که به کمک اون می تونید تنظیمات دلخواه رو برای افزایش بهینگی برنامه و وب سرور ایجاد کنید. بریم سراغ این فایل....
۷ نظر موافقین ۰ مخالفین ۰ ۰۶ بهمن ۹۰ ، ۱۴:۲۱
مرتضی فتحی
توی یکی از کتاب هایی که داشتم مطالعه می کردم به موضوع جالبی در مورد امنیت URL ها رسیدم که بد ندیدم اونو با شاما دوستان به اشتراک بزارم.
Validate کردن داده های ارسالی یا همون آرگومان ها جزو اصول اولیه تضمین امنیت برای یک برنامه هستش. راه حل های مختلفی مثل استفاده کردن از White/Black List, Escaping و .... وجود داره. ولی حقیقت اینه که دور زدن این مدل از بررسی صحت داده ها برای یک کرکر کار درست, چندان سخت نیست.....
۳ نظر موافقین ۰ مخالفین ۰ ۳۰ آذر ۹۰ ، ۱۸:۳۵
مرتضی فتحی
تا حالا اتفاق افتاده هنگام دانلود از گوگل کد یا برخی دیگر از سایت های آمریکایی با پیغام Forbidden برخود کرده باشید؟ می خواهید شما نیز آمریکایی ها را از ورود به سایت خود منع کنید؟! یادر برخی اوقات کاربرانی خاص قصد حمله به وب سایت شما را دارند، آیا قصد جلوگیری از دسترسی این نفوذگران را دارید؟ همچنین در برخی موارد مدیر سایت قصد دارد که تنها خود و افراد مشخصی به بخش مدیریت دسترسی داشته باشد. با دیوار آتش htaccess این امکان را فراهم می آوریم که تنها این افراد به مدیریت سایت دسترسی بیابند.
۷ نظر موافقین ۰ مخالفین ۰ ۲۸ بهمن ۸۹ ، ۲۳:۱۶
مرتضی فتحی
در جلسه ی قبل دیوار آتش با htaccess، غیرفعال نمودن لیست کردن پوشه ها را بررسی نمودیم. در این جلسه امکانی دیگر از این دیوار آتش که محافظت از فایل ها و پوشه ها با استفاده از رمز عبور و htpasswd می باشد را بررسی می کنیم. در ابتدا کاربردهای این روش را بیان می کنم. سپس به توصیف نحوه انجام این روش در فایل ها و پوشه ها می پردازم. در نهایت توضیحاتی در مورد فایل htpasswd. ارائه می کنم.
۲ نظر موافقین ۰ مخالفین ۰ ۲۶ بهمن ۸۹ ، ۱۵:۳۶
مرتضی فتحی
فایل htaccess. در بسیاری از وب سرورهایی که با آپاچی(Apache) کار می کنند، مورد استفاده قرار می گیرد و امکانات بسیاری را بدون تغییر تنظیمات سرور اصلی ایجاد می نماید. آپاچی پس از مشاهده فایل htaccess. آن را اجرا می کند و سپس به تفسیر فایل های اسکریپت موجود در آن پوشه می پردازد. این موضوع امکان ایجاد یک دیوارآتش(Firewall) با درجه ی امنیتی متوسط را فراهم می آورد. در این مقاله به بررسی برخی امکانات امنیتی در این دیوارآتش می پردازیم.
۴ نظر موافقین ۰ مخالفین ۰ ۲۵ بهمن ۸۹ ، ۲۳:۲۷
مرتضی فتحی