گفتگو: فیلتر کردن کلمات حساس مورد استفاده نفوزگران [بایگانی]

aminghaderi

شنبه 19 تیر 1389, 23:58 عصر

درود بر اساتید و دوستان
در بحث حفظ امنیت وب ، یه فلتر طراحی کردم که کلمات مورد نظر رو از متن ورودی کاربر حذف می کنه و بعد عملیات مورد نظر رو انجام می ده؟!
به خاطر اینکه برنامه ای که روش کار می کنم ، بیشتر سمت کلاینت هست و برای ارسال هم از اجکس استفاده می شه (XmlHttpRequest) می خوام تمام کلمات کلیدی که منجر به از کار افتادن (Down) سایت میشه رو فیلتر کنم ؟!
حالا به نظر شما کدام حروف و کلمات هستند که می توانند در کار سرور یا پایگاه و... در کل سایت مشکل به وجود بیارن؟؟؟؟؟
فقط کلمات یا حروف مد نظر هست نه روش یه دستور؟!
کاراکتر ها : مثل: '#'
کلمات مثل : Serch
همکنون نیازمند تجربه اساتید و دوستان ، االخصوص اساتید هستیم.:چشمک:

با سپاس فراوان

blackcats

یک شنبه 20 تیر 1389, 14:19 عصر

سلام
نمیدونم مطلبی که میگم به دردت بخوره یا نه این کامپوننت AntiXSSLibrary.dll تمامی اطلاعات ورودی کاربر رو بازبینی میکنه اگر عامل نفوذی پیدا کنه بهت پیغام میده.
توی گوگل سرچ کن بیشتر متوجه میشی

aminghaderi

دوشنبه 21 تیر 1389, 15:08 عصر

سلام
نمیدونم مطلبی که میگم به دردت بخوره یا نه این کامپوننت AntiXSSLibrary.dll تمامی اطلاعات ورودی کاربر رو بازبینی میکنه اگر عامل نفوذی پیدا کنه بهت پیغام میده.
توی گوگل سرچ کن بیشتر متوجه میشی
ممنونم عزیزم ولی به دلیل اینکه برای این کار یه انجین طراحی شده باید بهش کاراکتر یا لغت بدم تا فیلتر رو خودش انجام بده ، و اگر بخوام از ایم Dll استفاده کنم ، عملا پروسه نمی تونه پردازش مطمعنی داشته باشه ؟!
به هر حال ممنون از لطفتون.

m.hamidreza

دوشنبه 21 تیر 1389, 23:20 عصر

این روش در نزد یه نفوذگر مثله این میمونه که شما در بازی فوتبال برای اینکه گل نخوری به دوتا مهاجمت بگی بیان دفاع کنن! در نگاه اول شاید تاکتیک خوبی به نظر بیاد ولی عملا کاربرد چندانی نداره. اگر تیم مقابل کارش رو بلد باشه بجای اینکه دقیقه 30 گل بخوری 50 گل میخوری. مهم گل هست که خوردی و بازی رو باختی. این روش ها مال سال 42 هست... :لبخندساده:
البته ذاتا چیز بدی نیست ولی ارزش وقت صرف کردن نداره. بجاش چهارتا مقاله خوب در مورد امنیت و ضد امنیت بخون. هم آدم یه چیزی یاد میگیره هم تاکتیکی که بکار میبری یه تاکتیک مدرن هست و به مراتب درصد نفوذش پایین میاد.
موفق باشید.

aminghaderi

دوشنبه 21 تیر 1389, 23:35 عصر

این روش در نزد یه نفوذگر مثله این میمونه که شما در بازی فوتبال برای اینکه گل نخوری به دوتا مهاجمت بگی بیان دفاع کنن! در نگاه اول شاید تاکتیک خوبی به نظر بیاد ولی عملا کاربرد چندانی نداره. اگر تیم مقابل کارش رو بلد باشه بجای اینکه دقیقه 30 گل بخوری 50 گل میخوری. مهم گل هست که خوردی و بازی رو باختی. این روش ها مال سال 42 هست... :لبخندساده:
البته ذاتا چیز بدی نیست ولی ارزش وقت صرف کردن نداره. بجاش چهارتا مقاله خوب در مورد امنیت و ضد امنیت بخون. هم آدم یه چیزی یاد میگیره هم تاکتیکی که بکار میبری یه تاکتیک مدرن هست و به مراتب درصد نفوذش پایین میاد.
موفق باشید.
:لبخند:
استاد من که نگفتم برای حفظ امنیت فقط این کار رو انجام می دم که شما می گید "برو چهارتا مقاله امنیت و ضد امنیت بخون"!!!:کف::کف::کف:
5 تا 6 تا مانع گزاشتم و مباحث امنیتی رو هم حفظ کردم ولی چون از طریق XmllHttpRequest می خوام به سرور داده ارسال کنم ، می خوام در مرحله اول ابتدا متن رو پاکسازی کنم و بعد تفکیکش کنم و عملیات اعتبار سنجی و بعد پرمیژن کاربر و بعد ... و در آخر اگه همه اینها درست بود ، اونوقت عملیات مورد نظر انجام بشه.
چشم مقاله امنیتی به پستم بخوره می خونم استاد ، شما اگه مقاله خوب سراغ دارید ممنون می شم لینک دانلود بدید.
ارادتمند.

profnami

دوشنبه 21 تیر 1389, 23:59 عصر

متن کجاش میتونه خطرناک باشه که اینقده بهش اهمیت میدین ؟
متن رو اگه از کدهای Html پاک کنید میمونه یه سری کاراکتر بدبخت بیچاره که کاری نمیتونند بکنن.
شما هدف اصلیتون از این کار چیه ؟

aminghaderi

سه شنبه 22 تیر 1389, 01:16 صبح

متن کجاش میتونه خطرناک باشه که اینقده بهش اهمیت میدین ؟
متن رو اگه از کدهای Html پاک کنید میمونه یه سری کاراکتر بدبخت بیچاره که کاری نمیتونند بکنن.
شما هدف اصلیتون از این کار چیه ؟
برادر منم می دونم متن خالی بی خطره؟!
بیشتر می خوام کد های طزریق شده رو شناسایی کنم.
برادر یه بار همین 2 تا تاپیک بالا رو بخون ، من یه تاپیک دیگه مثل همین باز کردم که دقیقا مرتبت با اینه بس این موضوع رو توضیح دادم دیگه نایی واسم نمونده؟!:کف:
ممنون از لطفتون.

profnami

سه شنبه 22 تیر 1389, 10:22 صبح

دوست من وقتی کدها از تگ های Html خالی باشند دیگه چه نیازیه که متن تزریق شده رو شناسایی کنید ؟
شما میخواید سایتتون Down نشه خوب متونی رو که مگیرید با یه تابع ساده خالی از هر گونه کد html کنید در نتیجه مشکلی نخواهد بود .