مطالب روز و روز نوشته های یک مردک در رابطه با دنیای فناوری
مِی 20, 2009 بیان دیدگاه
سلام به دوستان 😀
پر انرژی هستم چون … طی گشت و گذارم یک اسکریپت که نمیشه گفت یه بچه اسکریپت پیدا کردم بدم بهتون کلی باهاش حال کنید این کد میاد به طور اتوماتیک وار آدرس بار رو چک میکنه و این امر باعث میشه که با استفاده از فیلتر هایی که انجام میده و محدودیت هایی که ایجاد میکنه از حملات XSS جلوگیری کنه به طور کلی مثل هلو میپره تو گلو …
سورس در ادامه 😀 ادامهٔ این نوشته را بخوانید
فوریه 26, 2009 بیان دیدگاه
در این مقاله فرض شده است که خواننده با اصول اولیه زبان پرس و جوی ساخت یافته (Structured Query Language) یا همان SQL آشنا است. در ضمن کدهای موجود در این مقاله تماما به زبان VB.NET می باشند
یک حمله SQL Injection چیست؟
حتما در فیلمهای سینمایی دیده اید که بسیاری از تبهکاران قربانیان خود را با تزریق مواد سمی به جای دارو از میان بر می دارند. آیا در دنیای سایبر نیز چنین ایده هایی وجود دارد؟ در کمال تعجب باید بگویم که بله!! هکرها هم به نوعی از این شگرد استفاده می کنند. می گویید چگونه؟ با تزریق کردن دستورات SQL مورد علاقه خود به Application شما! اجازه دهید تا با یک مثال مطلب را روشن تر کنم:
سیستم Login:
صفحات Login معمولا دارای فیلدهایی هستند که دو مقدار ID و Password را از کاربر گرفته و سپس با استفاده از یک دستور SQL آن را پردازش می کنند. نمونه ساده ای از این دستور به صورت زیر است:
SELECT COUNT(UserID) FROM tblUsers WHERE UserID=’” & UserID.Text & “‘ AND Pass=’” & Password.Text & “‘”
در این مثال UserID و Password دو کنترل TextBox هستند که مقادیر آنها بایستی مورد پردازش قرار گیرد. حال فرض می کنیم کاربر مقادیر را به صورت mahdi و ۱۲۳ وارد نماید، در این صورت جمله SQL به صورت زیر تولید می شود:
SELECT COUNT(UserID) FROM tblUsers WHERE UserID=’mahdi’ AND Pass=’123′
خوب تا اینحا مشکلی وجود ندارد. حال فرض کنید که هکر ما به جای کلمه کاربری خود عبارت زیر را وارد نماید:
‘ OR 1=1 –
در این صورت عبارت SQL زیر تولید خواهد شد: ادامهٔ این نوشته را بخوانید
ژانویه 21, 2009 ۱ دیدگاه
سلام
الان در حال وبگردی بودم که به یک حفره امنیتی که واسه دیروز هست برخورد کردم حفره ای که حملات sql injection روی اون اثر مثبت داره و بانک اطلاعاتی رو با دستورات sql در اختیار ما میزاره.
گفتم بد نیست که شما جوملا دارن عزیز نیز از این حفره امنیتی در کامپوننت com_news هم با خبر باشین . معمولا این حفره های در comp های ساخته شده توسط افراد خاص و یا دستکاری هایی که روی آنها انجام میشه رخ میده . یعنی یک کامپوننت مشهوور رو با یکم کد نویسی ما بیایم حمله خورش کنیم و راه رو برای خودمون آسونتر کنیم .
اگر دارای سایت هایی هستید که کامپوننت های از آن در اینترنت برای دانلود گذاشته تنها پیشنهادی که میکنم اینه از سایت های پشتیبانی و یا مرکزی خودش دانلود کنید و اگر هم سایت فرعی برخورد کردید با سوال و جواب در سایت اصلی به سالم بودن اون اطمینان پیدا کنید
Joomla Component news SQL Injection Vulnerability
ژانویه 20, 2009 بیان دیدگاه
فردا امتحان عقب مونده ترم داریم 😦 دو تا درس دیگه هم مونده باید بخونم تا 12 شب وقت داریم 😦 از شانس ما همزمان شده با اسکریپت امنیتی که در حال نوشتن اون هستم برام دعا کنید امتحان ترم رو خوب بدم مخصوصا این آخری :دی
… 10 دقیقه بعد !
الان توی یاهو واسه سرگرمی آنلاین بودم که یک دخـتـری که فامیل هم هست و ازش هم خیلی بدم میاد پی ام داده بود که این هفته المپیاد داریم :دی شما هم دارین
من هم گفتم آزمایشی یا اصلی گفت اصلی گفتم نه ولله مدرسه رو تابلو اعلانات نزدند برامون خلاصه بعد یه خیلی حرف و صحبت در رابطه با اینکه نزدند ( واقعا هم نزده بودند )
تیکه ای که همیشه باید بندازه رو میندازه که – که آره 20 نفره برتر مدرسه رو انتخاب میکنند ( منظورم رو که متوجه شدید؟ ) من هم دیگه داغ کردم درباره جشنواره خوارزمی که میخوام شرکت کنم ریختم وسط اون هم ساکت شد و دیگه جوابی نشنیدم ازش !!! :دی
بریم سره اصله مطلبمون ….
خوب داشتم میگفتم فردا امتحان دارم 😦 زبان فارسی همزمانی با اسکریپت امنیتیم که از حملات sqlinecjtion و xss جلوگیری میکنه ( رایگان هستشا :دی ) کاره این اسکریپت اینطوره که میاد تمامی GET هایی که در یک صفحه انجام میشه رو امنیتش رو ایجاد میکنه
این اسکریپت رو طوری دارم مینویسم و نوشتم که به 3 مدل فیلتر انجام میده یکیش همون امن کردن GET یکیش چک کردن URL یکیش هم محدود کردن متغیر های موجود در لینک طبق درخواستی که مصرف کننده اسکریپت میده
این اسکریپت رو اول به صورت بتا میدم بیرون رو چندتا سیستم آزمایش میکنیم اگر جواب داد چندتا روش دیگه اضافه میکنم و که باهاش سایت ها رو از این نوع حملات در امان نگه داره
حرف های یک مردک! 