سلام
یک بار توی یکی از این مسابقه هایی که وزارت کشور برگزار کرده بود ، خود سایت وزارت کشور نوشت که اینطوری هکشون کرده بودند که موقع زدن یو آر ال سایت وزارت ، صفحه به یو آر الی که هکر تعیین کرده بود ، می رفت.

می خواستم بدانم که این هکر چطور این کار را کرده بود و ما برنامه نویس ها چه کد یا برنامه یا تدبیری باید اتخاذ کنیم ، که از این نوع حمله سراغ سایت ما که با ASP.NET هم طراحی شده ، نیاد؟

ممنون.

دوست من تا جایی که میدونم واسه این کار از تزریق کد استفاده میکنن البته اطلاعاتم کمه ولی به نظرم زمانی از طریق استفاده میکنن که شما ثبت کد html توی سایتت کنترل نشده قرار بدی یعنی بدون کنترل اونو ثبت کنی که به این نوع حمالات XSS میگن اما اساتید می تونن جواب بهتری بهت بدن
در هر صورت موفق باشی

یکی از این روش ها xss هست
www.acunetix.com/websitesecurity/cross-site-scripting.htm

اولا از هر دوی شما ممنونم.


یکی از این روش ها xss هست
www.acunetix.com/web (http://www.acunetix.com/web)sitesecurity/cross-site-scripting.htm
یک راهنمایی خود این AntiXss داره که توی اون از موارد زیر صحبت می کنه :
HtmlEncode


<a href=”http://www.contoso.com”>Click Here [Un-trusted input]</a>

UrlEncode


<a href=”http://search.msn.com/results.aspx?q=[Un-trusted-input]”>Click Here!</a>

ولی اگر دقت کنید ، سوالی که من در این تاپیک مطرح کردم ، هیچ کدوم از اینها نیست.
و راستش در کل بعید می دونم که ارتباطی به حملات xss داشته باشه .
به هر حال اگر که کسی از دوستان فکر می کنه که ارتباط داره ، یک پست بزنه . چون من واقعا نمی دونم کدوم مورد رو می گین. به انواع حملات xss هم که نگاه می کنم ، می بینم که ارتباطی به این که یو آر ال صفحه ی اول سایت دزدیده بشه ، نداره.
بعد هم :
Anti-Xss فقط برای نمایش دیتا در روی UI می باشد . پس لزومی ندارد که قبل از نمایش که می خواهیم رویش Process انجام بدهیم آن متد AntiXSS را اعمال کنیم . موقعی که می خواهید روی صفحه نمایش بدهید حالا زمان انجام کنترل کردن مقدار هست .

سلام
یک بار توی یکی از این مسابقه هایی که وزارت کشور برگزار کرده بود ، خود سایت وزارت کشور نوشت که اینطوری هکشون کرده بودند که موقع زدن یو آر ال سایت وزارت ، صفحه به یو آر الی که هکر تعیین کرده بود ، می رفت.

می خواستم بدانم که این هکر چطور این کار را کرده بود و ما برنامه نویس ها چه کد یا برنامه یا تدبیری باید اتخاذ کنیم ، که از این نوع حمله سراغ سایت ما که با ASP.NET هم طراحی شده ، نیاد؟


احتمالا منظور شما سایت انتخابات وزارت کشور بود که هک شد !
این هک ربطی به برنامه نویسی نداشت و فقط یه سرقت دامنه بود یعنی هکر ! (که البته بهتره بگیم دزد) به میل آدمین دسترسی پیدا کرده و دامین رو به رسلر خود انتقال داده بود بعد هم DNS ها رو تغییر داد اینطوری سایت وزارت کشور به آدرس URL دلخواه روانه شد.

این رو نمیشه گفت که ربط نداره دقیقا یکی از اصلی ترین کاربردهای xss ریدایرکت کردن رو url دیگه هست
ویا بازکردن صفحه از url دیگه !

این رو نمیشه گفت که ربط نداره دقیقا یکی از اصلی ترین کاربردهای xss ریدایرکت کردن رو url دیگه هست
ویا بازکردن صفحه از url دیگه !

عرض کردم خدمدتون اگه منظورتون اون سایت انتخابات وزارت کشور بود اون کلا ربطی به برنامه نویسی نداره کار از یه جا دیگه بود اون دزدی دامنه هست و تغییر DNS ها

shahab_ksh (http://www.barnamenevis.org/forum/member.php?u=24304) :


احتمالا منظور شما سایت انتخابات وزارت کشور بود که هک شد
نه . قشنگ یادمه که یک بار مسابقه گذاشته بودند. البته این مسابقه هم فکر می کنم به خاطر تست همین انتخابات بود. حالا به این موضوع کار نداریم.

adinochestva (http://www.barnamenevis.org/forum/member.php?u=73608) :


این رو نمیشه گفت که ربط نداره دقیقا یکی از اصلی ترین کاربردهای xss ریدایرکت کردن رو url دیگه هست
ویا بازکردن صفحه از url دیگه !

اگر می شه ، همانطور که قبلا گفتم ، لطفا دقیقا یک مثال بزنید که منظورتون رو بفهمم.

سلام
ممنون از راهنمائیتون. البته من یادم نمی آد که صفحه ی اول سایت وزارت کشور ، نظرخواهی یا یک چیزی مشابه این بوده باشه که این رو می گید.

البته دیفیسر بازی و این کار ها به نظر من بچه بازی هستش.و در جواب این دوستمون باید بگم که وقتی شما توی بخش نظرات یک سایت تگ جاوااسکریپت بزاری بعد اینکه صفحه سایتش بیاد بالا تگ اسکریپت شما هم جزئی است از صفحه و اجرا میشه و برای ریدایرکت از window.location میشه استفاده کرد.
به این میگن xss یا css ! ....

سلام
من با راهنمائی شما ، سعی کردم یک برنامه درست کنم که صفحه ی نظرخواهی را هک کنم. ولی نشد.
صفحه ی اول برنامه Default.aspx ، است.

موقع لود Default.aspx ، اسکریپت مخربی که قبلا هکر وارد دیتابیس کرده ، در گریدویو نشان داده می شود و اصلا به صفحه ای که هکر می خواهد به آن صفحه ریدایرکت داده شود ، یعنی صفحه ی Default2.aspx نمی رود.

فیلد _script در دیتابیس ، مثلا همان فیلد نظر مردم است.