آی میتران

تجربه یک آنلاین متفاوت



امنیت در برنامه نویسی و تست نفوذ

امنیت در برنامه نویسی و تست نفوذ

سلام وقت بخیر

اگر یک برنامه نویس هستید، همیشه دغدغه داشتید که چطور امنیت رو داخل سایت یا برنامه اتون برقرار کنید؟؟

خب از قدیم قدیم گفتن امنیت هیچ موقع 100درصد نمیشه!! چرا؟ چون هرچی ما برنامه نویس ها می نویسیم یک نفر دیگه پیدا میشه و یه چیزی که ما فراموش کردیم ولی اون فراموش نکرده، این یه علت میشه که برنامه ما به فنا بره. اما حداقلش این هستش که ما جلوی اونایی اون فراموش نکرده رو هم بگیریم. زیاد توضیح ندم بریم سر بحث اصل مطلب.

دو نوع حمله متداول به سایت داریم :

1- Cross site scripting attacks || XSS

2- SQL Injection

حمله اول :

از طریق query string کوکی ها رو میدزدن و میبرن استفاده میکنن. (به خاطر همینه میگن وقتی کارتون با پنل اتون تموم شد خروج یا logout کنید تا کوکی هاتون دست هکر نیفته).


Response.Write("hello," + Request.QueryString("name"));

در ظاهر کد فوق هیچ گونه مشکلی نداره و طریقه کار و دست یابی به آن هماندد آدرس زیر است.

http://example.com/wellcome.aspx?name=ali

از طریق query string مقدار name دریافت شده و سپس یک پیام خوش آمدگویی برای کاربر ظاهر می شود. اما به کد زیر توجه کنید :

http://example.com/wellcoem.aspx?name=

کد فوق مخرب نیست و تنها پس از درخواست آدرس فوق به شکل داده شده یک Alert که Hi را نمایش می دهد ظاهر می گردد، اما تخریب از جایی شروع می شود که کاربری با دادن چنین لینکی در سایت ( برای مثال به مدیر سیستم و کلیک کردن طبیعی او بروی این لینک) محتویات کوکی مدیر سیستم را دزدیده و به آدرسی در سایتی دیگر منتقل و ثبت می کند ( از کوکی عموماً برای ثبت اطلاعات Login افراد استفاده می شود و به این صورت جعل خواهد شد).


ادامه مطلب

تشخیص دستگاه کاربر با استفاده از کتابخانه Mobile Detect

تشخیص دستگاه کاربر با استفاده از کتابخانه Mobile Detect

سلام وقت بخیر

دوستان آپادانایی یک کتابخانه براتون تدارک دیدیم.

آیا شما هم به دنبال این بوده اید که دستگاهی که کاربر با اون وارد سایت شده است را تشخیص بدین؟؟ روش های مختلفی هست برای این کار و تا بحال کتابخانه های زیادی برای این کار برنامه نویسی شده است. یکی از این کتابخانه ها، Mobile_Detect (موبایل دیتکت) می باشد. که همه برنامه نویس های عزیز می تونن از این کتابخانه استفاده کنند.

اگر از مدیریت محتوا استفاده می کنید و آن این قابلیت را ندارد با کمی آشنایی به مدیریت محتوای مورد نظر می توان این امکان را بصورت دستی به آن اضافه کرد. ما در نظر داریم این کتابخانه رو بصورت دستی به مدیریت محتوای آپادانا اضافه کنیم.


ادامه مطلب

تایید عضویت ثبت نام با ایمیل در آپادانا

تایید عضویت ثبت نام با ایمیل در آپادانا

سلام وقت بخیر

تایید عضویت ثبت نام در آپادانا توسط ایمیل

تایید عضویت ثبت نام معقوله ای است که امروزه همه سایت ها برای تایید ایمیل کاربر استفاده می کنند. از این طریق می توانند دیتابیس ایمیلی جمع کنند و بفروش برسانند. این کار منجر به کسب درآمد بسیار خوبی می شود. چرا؟؟ اگر دقت کرده باشید تبلیغات ایمیلی در چند سال اخیر بسیار رشد چشمگیر داشته. سایت هایی که این تبلیغات رو انجام میدن به این دیتابیس ها پول خوبی میدن.

بگذریم از این توضیحات، پیش تر قول داده بودیم این موضوع رو روی آپادانا انجام بدیم. از دوست عزیز آقای حمید تشکر میکنم که یادآوری کردن. این باعث شد که امروز دست به کار بشیم و روش اضافه کردن رو به شما آموزش بدیم.

نکته 1 :: اگر در تغییر کدها آشنایی ندارید این کار رو انجام ندین.

نکته 2 :: قبل از انجام هر کاری یک بک آپ بگیرید.

با حمایت های شما آی میتران همیشه در کنار شما خواهد بود.

این هک تنها برای اعضای سایت در دسترس می باشد. برای مشاهده ابتدا عضو شوید.


هک جدید ادامه مطلب