PDA

View Full Version : نقاط ضعف امنیتی سایت برنامه نویس



Inprise
چهارشنبه 19 آذر 1382, 18:46 عصر
سلام

اجزاء اصلی سایت که دارای نقطه ضعف امنیتی هستند :

الف) وب سرور ، Apache ، "نسخه و نگارش" محفوظ است . تعداد نقطه ضعفهای امنیتی گزارش شده تا یک هفته قبل : 6 مورد که دو مورد منجر به دسترسی مدیریتی به سایت و بقیه باعث عدم ارائه سرویس ( Dos ) خواهند شد .

ب) ابزارهای تولید دینامیک محتوای وب :PHP نصب شده بصورت CGI که نسخهء بتاست ( هر چند هاست این سایت ادعا کرده که PHP رو بصورت ماژول اضافه شدنی به سرور نصب کرده ، که خالی بسته : http://www.hostito.com/hosting_features.php )

ج) نسخهء غیر قابل اعتماد OpenSSL ، نگارش محفوظ است ، نسخه بتاست ، حتی نسخه های بالاترش هم دارای نقاط ضعف امنیتی متعدد هستند چه برسه به این نگارش . تعدادی از این نقاط ضعف میتونن منجر به DOS بشن .

نقاط ضعف فوق فقط به سرویس دهندهء وب و اضافاتش مربوط بود و لزومی نداشت بانک اطلاعاتی و سایر نرم افزارهای احتمالی و اجازه های مختلف دسترسی فضای وب سایت رو مورد بررسی قرار بدم . حتی نرم افزار مسج بورد هم دارای نقطه ضعف امنیتی است که میتواند منجر به حذف همه اطلاعات رو مسج بورد شود ! :roll:

منبع و مرجع اطلاعات فوق پیش من محفوظه و فقط در اختیار مدیر سایت قرار میگیره . از اون جائیکه احتمالا آقای کرامتی نمیتونن به تنظیمات امنیتی سایت دسترسی داشته باشند یا نقاط ضعف نرم افزارها رو اصلاح کنن بهشون توصیه میکنم ضمن رفع نقطه ضعف مسج بورد ، همیشه یک بک آپ از آخرین اطلاعات موجود روی سرور داشته باشند . :roll:

امیدوارم موفق و سلامت باشید .

Vahid_Nasiri
چهارشنبه 19 آذر 1382, 19:44 عصر
حفره های امنیتی فوروم phpBB

من فقط راه حل را اینجا می نویسم تا جناب کرامتی سریعتر عمل کنند.
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=153818

باگی در نگارش آخر phpBB وجود دارد که توسط آن می توان پسورد هش شده ی ادمین را بدست آورد و سپس یک کوکی جعلی درست نمود و با استفاده از آن یک ادمین جعلی ایجاد کرده و سایت را فرستاد هوا ........ آقا زودتر عجله کنید و این مشکل را برطرف نمایید. :arrow:

Vahid_Nasiri
چهارشنبه 19 آذر 1382, 19:51 عصر
یک مورد دیگر هم مربوط به این quick reply می شود:
http://www.xatrix.org/article2213.html

Vahid_Nasiri
چهارشنبه 19 آذر 1382, 19:53 عصر
و همچنین :
http://www.xatrix.org/article2289.html

Vahid_Nasiri
چهارشنبه 19 آذر 1382, 22:31 عصر
مشکل اولی که گفتم باعث هک شدن سایت پرشین تولز در هفته ی قبل شد ..... :roll:

JavanSoft
چهارشنبه 19 آذر 1382, 23:13 عصر
فکر نمی کنید بهتر بود بصورت PMمطرح می شد؟

Vahid_Nasiri
پنج شنبه 20 آذر 1382, 00:21 صبح
به دو دلیل عمدا به صورت باز مطرح شد:
1- روش هک گفته نشد.... ( برای مثال در مورد اول از روش تزریق اس کیو ال ....... بماند! استفاده شده است )
2- این هشداری بود به خیلی از ادمین های محترم که در این سایت احتمالا رفت و آمد دارند و لازم بود تا با خطرات پیش رو آشنا شوند.

Gilbert
پنج شنبه 20 آذر 1382, 04:12 صبح
سلام
میخواستم ببینم میشه باگهایی که میدونیم رو اعلام کنیم ؟ یا راه حلاشو بگیم ؟

پ.ن. یه راهنمایی =profile.php?mode=viewprofile&u

SSP_Software_team
پنج شنبه 20 آذر 1382, 07:47 صبح
آقای نصیری بابا PM بزن شاید کسایی باشن اینجا که قبلا با این باگها آشنا بودن ولی خبر نداشتن که این باگارو (ما که سر در نیووردیم)این سایت داشته :cry:

Inprise
پنج شنبه 20 آذر 1382, 12:21 عصر
با تشکر از برادر نصیری

Gilbert
پنج شنبه 20 آذر 1382, 21:45 عصر
آقا میلاد عزیز
اگر قرار بود هیشمه مشکلات امنیتی با PM گزارش داده میشدن اونوقت دنیا فقط میتونست تعداد انگشت شماری ADMIN داشته باشه...

ساران سافت
چهارشنبه 26 آذر 1382, 15:42 عصر
آقا یجوری حرف بزنید ما هم بفهمیم؟ :roll:

Mohammad_Mnt
چهارشنبه 26 آذر 1382, 16:13 عصر
کن یو اسپیک اینگلیش ؟ یسک ! ایت ایز اِ بلک برد