ورود

View Full Version : هک شدن و رمز گذاری اطلاعات


maryam_jamshid
شنبه 28 اردیبهشت 1387, 11:05 صبح
من یه برنامه با asp نوشتم و دیتابیسم هم sqlserver2000 هست،اما این برنامه ام مدام هک میشه

به نظر تون مشکل کجاست و چطوری رفع میشه؟
اگه بخوام username و password ام رمزگذاری شده ذخیره بشه چطوری میشه انجام داد؟؟؟
roozbeh_black
شنبه 28 اردیبهشت 1387, 19:01 عصر
سلام.!
جلوی حملات SQL-Injection رو گرفتی.؟!
maryam_jamshid
یک شنبه 29 اردیبهشت 1387, 07:26 صبح
چطوری باید این کار رو کرد؟؟
ضمنا طریقه رمز گذاری username وpassword با کد aspچطوریه؟
roozbeh_black
دوشنبه 30 اردیبهشت 1387, 10:33 صبح
سلام.
SQL-Injection که عموما به خاطر بی دقتی برنامه نویسیان پیش میاد باعث میشه که با تزریق SQL در فرم های Login امکان Edit,Delete , ... کردن DataBase را به شخص حمله کننده می دهد، برای مقابله با این حملات هم راه کارهائی وجود دارد مثل فیلتر کردن این کاراکتر ' و ...
برای رمز گذاری هم می تونید از روش های معمول رمز گذاری استفاده کنید،که ساده ترینش می تونه عوض کردن کاراکتر با N کاراکتر بعدی و ...
maryam_jamshid
دوشنبه 30 اردیبهشت 1387, 10:42 صبح
ممنونم.
میشه اینها رو با یه مثال برام توضیح بدید؟
roozbeh_black
دوشنبه 30 اردیبهشت 1387, 12:01 عصر
برای SQL-Injection به عنوان مثال سایتX (http://engineering.ripi.ir/admin/login.asp) رو در نظر بگیرید. در قسمت User & Pass می شود با تزریق SQL
' or ''=' (کپی)
وارد شد. این اشکال در بسیاری از سایت ها دیده میشه.

برای مورد دوم هم باید اول نوع Encode/Decode رو انتخاب کنید. مورد N یکی از ابتدائی ترین روش هاست.
maryam_jamshid
سه شنبه 31 اردیبهشت 1387, 09:32 صبح
لطفا اگه میشه به کار بردن این روش ها رو با مثال توضیح دهید.
خیلی مهمه
roozbeh_black
سه شنبه 31 اردیبهشت 1387, 23:47 عصر
سلام.
برای مورد اول، این لینک ها کمکتون می کنه.
SQL-Injection (http://www.4guysfromrolla.com/webtech/061902-1.shtml)
one (http://articles.techrepublic.com.com/5100-10878_11-5794978.html) and two (http://articles.techrepublic.com.com/5100-10878_11-5083541.html) for protect DataBase and Encryption
برای مورد دوم هم سعی می کنم به زودی یک نمونه بذارم.
موفق باشید.
anubis_ir
چهارشنبه 01 خرداد 1387, 07:07 صبح
در يكي از بلاگ‌هاي سايت رسمي IIS‌ مطلب زير رو ديدم جالب بود. كار رو به صورت خودكار كرده:
http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx

كاري كه بايد بكنيد،‌مطابق مقاله بالا فايل SqlCheckInclude.asp را درست كنيد.
بعد اين فايل بايد به تمامي صفحات سايت پيوست شود:

<!--#include file="SqlCheckInclude.asp"-->
maryam_jamshid
دوشنبه 06 خرداد 1387, 07:26 صبح
طریقه رمز ی کردن username وpassword رو میشه با یه مثال توضیح بدید؟