fake login page

[masiha68]

سلام
بخش امنیت پی اچ پی راه افتاد و فک کنم وقتش باشه قسمتی از تجربه هامونو به اشتراک بذاریم ( ادعای با تجربه بودن ندارم ولی خب ... هر کسی یه چیزایی بلده )
fake page چیه ؟ یه صفحه ی تقلبی از صفحه ی اصلی با همون گرافیک و ساختار برای گول زدن فرد خاصی ( اینجا جوجه هکر )
شما توی هر وبسایتی باید حداقل یه پیج لاگین داشته باشین و حالا اگه یه هکر تموم اطلاعات سیستم رو حالا چه از راه sql inject یا هرچیزی دیگه ای بدست اورده باشه باید بتونه این صفحه رو پیدا کنه و وارد سایت بشه … حالا اگه شما توی وبتون چندا صفحه ی لاگین تقلبی بذارین راحت می تونین چن ساعتی هکر رو معطل کنید .
من این کارا رو کردم ... چندتا مسیر فرعی مثل admin , cp , modir ساختم و توی هر کدوم یه صفحه ی تقلبی از لاگین قرار دادم . یه کد هم نوشتم که هربار که یکی وارد این صفحه ی تقلبی میشه یه ایمیل واسم میاد همراه با ای پی و زمان ورد ... همچینین کلیه ی رمزهای وردی و اطلاعات کابریش رو توی دیتابیس ذخیره می کنم تا بعدا بدونم کی بوده و یه سری اطلاعات اجمالی از جناب هکر داشته باشم


پست اولم بود ... فقط برای شروع

[MMSHFE]

ضمن تشکر از دوستمون، در تکمیل توضیحاتشون عرض کنم که اصطلاح فنی این بخشهای سایت HoneyPot هست (بطری عسل) هست که هدف اصلی اون، جذب هکرها به منظور کسب اطلاعاتی درمورد نحوه کارشون هست و چون به جای خاصی هم در سایت وصل نیست، حتی اگه اطلاعات دیتابیسشون لو بره هم به سایت آسیبی نمیرسونه. منبع برای مطالعه بیشتر
البته اینهم بد نیست گفته بشه که Fake Login Page یا بطور خلاصه Fake Page اصطلاحی هست که برای صفحات تقلبی لاگین بکار میره که در اصل برای فریب کاربران عادی و سرقت نام کاربری و رمز عبور اونها طراحی میشن. درواقع تفاوت اصلی Fake Page و HoneyPot در جامعه هدف و طراح اونهاست که در اولی، جامعه هدف کاربران عادی و طراح، هکر هست و در دومی جامعه هدف هکرها و طراح، برنامه نویس اصلی سایته.

[alemeh]

با سلام
ببخشید من تازه کارم.میشه یه کم توضیحات بیشتر بدید؟یعنی توضیح بدید honeyPot ها را چگونه تولید کنیم وچگونه هکرها را به اونجا منتقل کنیم و کاربران عادی را به صفحه ی لاگین اصلی؟

[masiha68]

لزومی نداره هکر رو ببری اونجا .. هکر که خودش دنبال صفحه ی لاگین می گرده اونجا رو پیدا می کنه
این صفحه ی تقلبی هم به درد سایت های تک کاربره می خوره که فقط یک نفر ادمین داره
توضیحات بیشتر : ببین من سه ساعت نشستم و یوزنیم و پسورد یه سایت رو انجکت می کنم و بعدا باید از یه جایی وارد سایت بشم ... حالا دنبال صفحه ی ورود می گردم و اولین جایی که ادرش رو می زنم admin هستش ... وارد این قسمت می شم . حالا اگه با یه صفحه ی تقلبی سروکار نداشته باشم واردسایت میشم و .... ولی اگه یه صفحه ی تقلبی باشه چون به هیج جا وصل نیست پس نمی تونم وارد شم و منصرف میشم . حالا اگه برنامه نویس یه کمی خلاقیت به خرج بده توی این صفحه ی تقلبی یه سری کد میزاه که اطلاعاتی در مورد هکر بدست میاره مثلا تاریخ ورد ، ای پی هکر ، مرور گر ...
فک کنم کافی باشه