trueend5
12-22-2006, 04:50 PM
خب زون اچ هک شد.
لازم به توضیح در باره زون اچ نیست اونایی که باهاش آشنا هستند میدونن چیه.
چیزی که خیلی خیلی واسه من جالب بوده نفوذ به سایته.
اول نحوه نفوذ رو اینجا بخونید تا نکات جالب رو بگم:
<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b>
اولین نکته اهمیت دادن به امنیت وب اپلیکیشن هست. چیزی که بارها و بارها ما تو کپدا بهش تاکید کردیم اما باور کنید به عنوان بزرگترین تیمی که داریم رو امنیت وب اپلیکیشن کار میکنیم, هیچ کس هیچ اهمیتی به کار ما نمیده و همه دنبال امنیت شبکه و سیستم عامل هستند در حالی که بیش تر ار هفتاد و پنج درصد حملات تو اینترنت از طریق وب اپلیکیشن ها انجام میشه.
نکته دوم اهمیت دادن به باگهای مثل کراس سایت اسکریپتینگ هستش که به نظر خیلیها بی اهمیت. همین مامبو انگار نه انگار که باگ داره (همون باگی که تو نسخه فارسی برطرف شد) , پچی اعلامیه ای چیزی , انگار نه انگار.
ببینید چه جوری مهاجم تو این مثال از xss استفاده کرده.
نکته سوم: اتکا نکردن به استراتژیهای دفاع در عمق مثل mod_security هستش که تو مقاله روشهاس سیستماتیک پیاده سازی امنیت در وب اپلیکیشن که توسط کپدا نوشته شده بد فرم رو این تاکید داشتیم , و حتی تو تعریفی که از امنیت داشتیم این موضوع رو آوردیم. یعنی میشه گفت یه تعریف جدید از امنیت وب اپلیکیشن دادیم , اما کی ما هارو تحویل میگیره ( تعریف دادیم , واسه خودمون دادیم).
مقاله موجوده اگه تمایل داشته باشید میزارم و خوندنش رو به همه توصیه میکنم مخصوصا و به توسعه دهنده های وب اپلیکیشن مثل مامبولرن.
ببینید چطور مهاجم mod_security رو دور زد.
و نکته چهارم: عدم استفاده از کامپوننت های تولید کننده های دیگه غیر از مامبو و جوملا تا حد امکان , مگه اینکه واقعا به امنیتش اطمینان داشته باشید یا خودتون تست کنید و یا ریسک امنیتیش رو بپذیرید.
درضمن همینطور که میدونید زون اچ از جوملا استفاده میکنه.
من که از این طریق نفوذ لذت بردم چون که کاملا وب اپلیکیشنی بود.
لازم به توضیح در باره زون اچ نیست اونایی که باهاش آشنا هستند میدونن چیه.
چیزی که خیلی خیلی واسه من جالب بوده نفوذ به سایته.
اول نحوه نفوذ رو اینجا بخونید تا نکات جالب رو بگم:
<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b>
اولین نکته اهمیت دادن به امنیت وب اپلیکیشن هست. چیزی که بارها و بارها ما تو کپدا بهش تاکید کردیم اما باور کنید به عنوان بزرگترین تیمی که داریم رو امنیت وب اپلیکیشن کار میکنیم, هیچ کس هیچ اهمیتی به کار ما نمیده و همه دنبال امنیت شبکه و سیستم عامل هستند در حالی که بیش تر ار هفتاد و پنج درصد حملات تو اینترنت از طریق وب اپلیکیشن ها انجام میشه.
نکته دوم اهمیت دادن به باگهای مثل کراس سایت اسکریپتینگ هستش که به نظر خیلیها بی اهمیت. همین مامبو انگار نه انگار که باگ داره (همون باگی که تو نسخه فارسی برطرف شد) , پچی اعلامیه ای چیزی , انگار نه انگار.
ببینید چه جوری مهاجم تو این مثال از xss استفاده کرده.
نکته سوم: اتکا نکردن به استراتژیهای دفاع در عمق مثل mod_security هستش که تو مقاله روشهاس سیستماتیک پیاده سازی امنیت در وب اپلیکیشن که توسط کپدا نوشته شده بد فرم رو این تاکید داشتیم , و حتی تو تعریفی که از امنیت داشتیم این موضوع رو آوردیم. یعنی میشه گفت یه تعریف جدید از امنیت وب اپلیکیشن دادیم , اما کی ما هارو تحویل میگیره ( تعریف دادیم , واسه خودمون دادیم).
مقاله موجوده اگه تمایل داشته باشید میزارم و خوندنش رو به همه توصیه میکنم مخصوصا و به توسعه دهنده های وب اپلیکیشن مثل مامبولرن.
ببینید چطور مهاجم mod_security رو دور زد.
و نکته چهارم: عدم استفاده از کامپوننت های تولید کننده های دیگه غیر از مامبو و جوملا تا حد امکان , مگه اینکه واقعا به امنیتش اطمینان داشته باشید یا خودتون تست کنید و یا ریسک امنیتیش رو بپذیرید.
درضمن همینطور که میدونید زون اچ از جوملا استفاده میکنه.
من که از این طریق نفوذ لذت بردم چون که کاملا وب اپلیکیشنی بود.