PDA

View Full Version : گفتگو: طراحی دیوار آتش برای سایت



m4prog
پنج شنبه 03 شهریور 1390, 13:53 عصر
سوال اول اینکه میشه سایت رو مانیتورینگ کرد تا از ورود و خروج افرادی که به سایت مراجعه می کنند با خبر شد؟
سوال دوم چطور میشه فهمید که به سایت داره حملات SQL / XSS میشه و محافظت کرد؟
و دیگر حملاتی که در زیر ذکر شده محافظت کرد:
- محافظت در برابر حملات LFI / RFI
- محافظت در برابر درخواست سیل HTTP
- محافظت در برابر عاملهای کاربری بد
- محافظت در برابر پروکسی
- چک سام MD5
- تغییر مسیر -- خطای 404
- روشن کردن سایت / آفلاین کردن
و دیگر حملاتی که آشنایی دارید و طریقه محافظت در برابر آنرا میدانید

از دوستانی که در این رابطه نظر, مقاله , سایت و... سراغ دارن در این پست قرار دهند

jaykob
پنج شنبه 03 شهریور 1390, 15:55 عصر
سوال اول اینکه میشه سایت رو مانیتورینگ کرد تا از ورود و خروج افرادی که به سایت مراجعه می کنند با خبر شد؟
سوال دوم چطور میشه فهمید که به سایت داره حملات SQL / XSS میشه و محافظت کرد؟
و دیگر حملاتی که در زیر ذکر شده محافظت کرد:
- محافظت در برابر حملات LFI / RFI
- محافظت در برابر درخواست سیل HTTP
- محافظت در برابر عاملهای کاربری بد
- محافظت در برابر پروکسی
- چک سام MD5
- تغییر مسیر -- خطای 404
- روشن کردن سایت / آفلاین کردن
و دیگر حملاتی که آشنایی دارید و طریقه محافظت در برابر آنرا میدانید

از دوستانی که در این رابطه نظر, مقاله , سایت و... سراغ دارن در این پست قرار دهند

سلام

سوال اول : بله شما می تونید تمامی ورود و خروج ها به سیستم رو با Global.asax لاگ کنید و بعد مطالعه کنید . اگر هم سرور اختصاصی هست که کلی ابزار مانیتورینگ هست واسه سرور
سوال دوم : برای sqli که معمولا در کوئری استرینگ ها صورت می گیره و یا لاگین ها شما در کد نویسی باید اول مسائل امنیتی رو رعایت کنید و سپس شما می تونید هر مقداری غیر از مقدار واقعی رو حمله حساب کنید و سپس مقدار و ip طرف و ساعت و ... رو لاگ کنید . در رابطه با xss هم که معمولا در input ها صورت می گیره شما باید مقدایر معمولی جملات xss و همینطور bypass رو در نظر بگیرید و در صورت ورود این کاراکتر ها به صفحه مورد نظر وجود ندارد رفته و مقادیر رو لاگ کنید .

در رابطه با قطع دسترسی هم می تونید واسش تعریف کنید اگر هر ip بیش از 20 بار حملش داخل این جدول لاگ شد بره توی black list و ...

حملات زیاد هست بهتره در رابطه با هر کدام به صورت جدا تحقیق کنید تا به نتیجه بهتری برسید

موفق باشید

m4prog
پنج شنبه 03 شهریور 1390, 18:38 عصر
با تشکر
دوست عزیز میشه واضح تر توضیح دهید واگر سایتی هم سراغ دارید لینکشو بگذارید

dontspeak
پنج شنبه 03 شهریور 1390, 20:31 عصر
برای جلوگیری از حملات xss هم بهتره از entity farmework , lnq, sqldatasource استفاده کنید
md5 هم معمولا توی لاگین کاربرد داره چون یک طرفه هست و بهتره برای لاگین هم از خود کنترلهای membership استفاده کنید
باید با spam ها مقابله کنی که باید برای این کار از کد امنیتی استفاده کنی. می تونی برای ارسال مطلب هم طوری برنامه بریزی که مثلا کاربر فقط بتونه یک پست در دو دقیقه ارسال کنه.
برای بخش آپلود هم حتما فایلهای دریافتی رو چک کن که واقعا نوع ورودی همون باشه. مثلا اگه پسوند فایل ارسالی jpg باشه چک کن ببین آیا واقعا jpg هست یا اینکه مثلا aspx رو ورداشته پسوندشو عوض کرده
خلاصه برای امنیت کار زیاده و خودش یه بحث مفصل رو می طلبه

milade
پنج شنبه 03 شهریور 1390, 22:35 عصر
دوست عزیز سوالتون یه طوری هست !

منظورم اینه که حملات سیل HTPP که DOS و DDOS هست اصلاً به لایه Application برسه فاتحه خوندس !
اینجور حملات در عرض 10 ثانیه شاید ملیونها پاکت بدون گیرنده میفرستن ، فکر نکنم از روتر بر بیاد چه برسه IIS و IF های شما ... !
برا این کارها باید توی لایه های پایین تر پاکت ها کنترل بشه که کار روتر ها و نرم افزارهای فیلتر پاکت ها هست ...

در مورد XSS و SQL Injoction ، از این دست حملات که اصلاً از برنامه هست و برنامه باید باگش برطرف بشه . وگرنه یا باید فیلتر های اضافی بگزارید که مستلزم هزینه هست .


شما روی امنیت برنامه کار کن ، یه سرور خوب هم برنامه رو لود کن ، به خدا هم توکل کن :دی

موید باشی

m4prog
جمعه 04 شهریور 1390, 14:19 عصر
با تشکر از دوستانی که راهنمایی می کنند
از استادانی که در این رابطه(امنیت وطریقه هک شدن سایت ها وجلوگیری از آنها) مطلب یا لینکی سراغ دارن بگذارند تا دیگر برنامه نویسان هنگام برنامه نویسی از آنها استفاده کنند
با تشکر از همه ی کسانی که در این پست همکاری می کنند

mmnoody2006
جمعه 04 شهریور 1390, 22:37 عصر
رفتی تو سایت های هک یه چی شنیدی بعد اومدی اینجا سوال ؟

عجب بابا نه داداش از این خبرا نیست اغلب این حملات به راحتی خنثی می شن در ضمن برای سایت دیوار آتش نمی سازن برای سروره اون مثل فیلم ها سوال می کنی .

راستی این یعنی چه ؟


چک سام MD5

milade
شنبه 05 شهریور 1390, 10:39 صبح
عجب بابا نه داداش از این خبرا نیست اغلب این حملات به راحتی خنثی می شن در ضمن برای سایت دیوار آتش نمی سازن برای سروره اون مثل فیلم ها سوال می کنی .
این طور ها هم نیست ...
شما لطف کن یه سایتت رو بده من تا DDOS بزارم روش ببینم شما خنثی میکنی :دی

mmnoody2006
شنبه 05 شهریور 1390, 11:41 صبح
www.emroozweb.com

منتظرم حتما اینکارو کن . می دونم که مردش نیستی چون DDOS یه هکر کار درست می خواد با حداقل 100 تا nod در سراسر جهان تازه سرور سایتم یه firewall خیلی قوی داره

mmnoody2006
شنبه 05 شهریور 1390, 11:43 صبح
سایتت رو بده من تا DDOS بزارم روش ببینم شما خنثی

چه حرف مسخره ای یه DDOS بزارم روش . مگه گذاشتنیه :قهقهه::گیج::لبخند:

m4prog
یک شنبه 06 شهریور 1390, 01:35 صبح
آقا چه خبره اینجا :متعجب:
من میخوام تو این پست در رابطه با محافظت از سایت کسانی که مطالبی دارند به اشتراک بگذارند تا همه استفاده کنندنه اینکه به همدیگه خط و نشون بکشن؟:عصبانی:
منظور از سوال من هم اینه که حملاتی که به سایت میشه رو ذخیره کرد یعنی ما خودمون آمار بگیریم که چه کسی با چه آی پی و چه نوع حمله ای میخواستش سایتو هک کنه؟
یه بخش تو مدیریت سایت میگذاریم که این اطلاعات رو به نمایش بگذاره ؟
(قابل توجه بعضی ها: نه داداش به فیلم یا سایتهای هک هیچ ربطی نداره من فقط یه آمار گیر میخوام طراحی کنم همین)
لطفا ادب را رعایت کنید:لبخند:
سایت جالبی داری موفق باشی به دوستان توصیه میکنم یه سر بزنن

milade
یک شنبه 06 شهریور 1390, 10:06 صبح
منتظرم حتما اینکارو کن . می دونم که مردش نیستی چون DDOS یه هکر کار درست می خواد با حداقل 100 تا nod در سراسر جهان تازه سرور سایتم یه firewall خیلی قوی داره
...

چه حرف مسخره ای یه DDOS بزارم روش . مگه گذاشتنیه
به قول دوستان : پ نه پ ، خوردنیه ;)




منظور از سوال من هم اینه که حملاتی که به سایت میشه رو ذخیره کرد یعنی ما خودمون آمار بگیریم که چه کسی با چه آی پی و چه نوع حمله ای میخواستش سایتو هک کنه؟
خب دوست عزیز ،
اگر من بدونم به سایت من میخواد با روش مثلاً DDOS حمله بشه ، چرا دیگه بزارم حمله بشه ؟ اگر میدونم این روش چه طوریه !
کلاً اینکه روش رو مشخص کرد نشدنیه تا حدودی .
البته خود سیستمها امارگیر هایی دارند که مثلاً بهتون یه سری اطلاعات میدن و میتونه مفید باشه .
اما نه اینکه روش رو هم بشه تشخیص داد .

m4prog
یک شنبه 06 شهریور 1390, 21:28 عصر
دوستان ممنون از انتقادات و پیشنهاداتی که انجام می دهید
چرا همتون می گید که خوده سرور داره فلانه .....
چی میشه ما هم خودمون طراحی کنیم
متشکر میشم راهنمایی کنند استادان

dontspeak
دوشنبه 07 شهریور 1390, 00:17 صبح
دوست خوبم m4prog
ببین طراحی دیوار آتش به قول یکی از دوستان کار من و شما نیست این مربوط به خود سروره. اما من و شما بعنوان یک برنامه نویس می تونیم یه کارهایی بکنیم و جلوی یک سری از حملات و خرابکاری ها رو بگیریم. این بحث هم خیلی گسترده هست و نیاز به دانش هک هم داره اگه واقعا می خواید توی این زمینه پیشرفت کنید و کار کنید بهتون پیشنهاد میکنم کتاب مرجع کامل حملات هکری و طریقه مقابله با اون رو بخونید این کتاب 807 صفحه هست و نویسنده اون مجید داوری دولت آبادی هست از انتشارات پندار پارس. من خودم اینو دارم البته باید بازم کتاب دیگه ای هم باشه. وقتی میری داخلش می بینی که تامین امنیت خیلی سخته
موفق باشید

milade
دوشنبه 07 شهریور 1390, 00:28 صبح
دوستان ممنون از انتقادات و پیشنهاداتی که انجام می دهید
چرا همتون می گید که خوده سرور داره فلانه .....
چی میشه ما هم خودمون طراحی کنیم
متشکر میشم راهنمایی کنند استادان
چرخ یک بار ساخته شده ،

اما :
وقتی شما یه سیستم مینویسی با سیستمی که من دارم ماهی 80 تومن لایسنس میدم و ساپورت میگیرم زمین تا اسمون فرق داره !
ثانیاً : اگر شما بخوای یه فایروال بنویسی که "جواب" بده ، مستلزم زبانهای سطح پایین و دانش برنامه نویسی و فنی بسیار بسیار بالا هست .وگرنه یه چیز در پیت رو که همه میتونن بنویسن ، صرف اینکه "نوشته باشن" !
ثالثاً :حتی اگر شما بتونید به این مهم دست پیدا کنید ، مستلزم یک سرور اختصاصی هستید برای اجرا ، پس هزینه هم اومد وسط .
رابعاً : وقت بسیار گرانبهاست ، همین که شما 2 روز وقت گزاشتید کافیه و اگر نگید "عاشقشم" بهتره بپسبید به امنیت برنامه خودتون . اینکه نشه XSS و Injoction و ... کرد کافیه .بقیه مسائل در مراحل بعد پیش میاد از جمله انتخاب هاستینگ .
خامساً : یه سوالهایی میپرسید شما . مثلاً میگید چه طور بفهمم حمله DDOS هست . خب اگر شما بدونید داره حمله میشه دیگه اون حمله نیست ! ....

شب خوش !

m4prog
دوشنبه 07 شهریور 1390, 00:30 صبح
با تشکر
ولی ما حتی نمی تونیم که یکی از حملات رو رصد کنیم و ببینیم که چند بار خواسته شده از این طریق(هک) سایت رو دچار مشکل کنند

milade
دوشنبه 07 شهریور 1390, 00:41 صبح
عرض کردم بنده ،
شما میتونید لاگ ها رو چک کنید .
معمولاً توی لاگها اطلاعات به درد بخوری هست .
این واسه حملات شبکه هست که به لاگینگ سیستم میرسه .

اما XSS و ... اگر ما میدونستیم حمله میشه که لاگ کنیم ، مریض بودیم که جلوشو بگیریم ؟

لطفاً یه خورده فکر کن .

مرسی

m4prog
دوشنبه 07 شهریور 1390, 00:42 صبح
چرخ یک بار ساخته شده ،

اما :
وقتی شما یه سیستم مینویسی با سیستمی که من دارم ماهی 80 تومن لایسنس میدم و ساپورت میگیرم زمین تا اسمون فرق داره !
ثانیاً : اگر شما بخوای یه فایروال بنویسی که "جواب" بده ، مستلزم زبانهای سطح پایین و دانش برنامه نویسی و فنی بسیار بسیار بالا هست .وگرنه یه چیز در پیت رو که همه میتونن بنویسن ، صرف اینکه "نوشته باشن" !
ثالثاً :حتی اگر شما بتونید به این مهم دست پیدا کنید ، مستلزم یک سرور اختصاصی هستید برای اجرا ، پس هزینه هم اومد وسط .
رابعاً : وقت بسیار گرانبهاست ، همین که شما 2 روز وقت گزاشتید کافیه و اگر نگید "عاشقشم" بهتره بپسبید به امنیت برنامه خودتون . اینکه نشه XSS و Injoction و ... کرد کافیه .بقیه مسائل در مراحل بعد پیش میاد از جمله انتخاب هاستینگ .
خامساً : یه سوالهایی میپرسید شما . مثلاً میگید چه طور بفهمم حمله DDOS هست . خب اگر شما بدونید داره حمله میشه دیگه اون حمله نیست ! ....

شب خوش !


با تشکر



خب اگر شما بدونید داره حمله میشه دیگه اون حمله نیست !

من چه جوری میفهمم که داره طرف همین الان حمله میکنه؟:متفکر:

بعدش هم قصد من از ایجاد این تاپیک این است که برنامه نویسانی که تازه شروع به کار کردن باید به چه نکاتی دقت کنند تا هک نشوند بعد اون هم من فقط میخوام ip طرف و نوع حمله ای که انجام داده رو ثبت کنم
باز هم ممنونم

milade
دوشنبه 07 شهریور 1390, 00:51 صبح
من چه جوری میفهمم که داره طرف همین الان حمله میکنه؟:متفکر:

من فکر میکنم ادامه دادن بحث برای من جز اتلاف وقت کمکی به شما و خودم نمیکنه .پس ادامه بحث رو میسپارم به بقیه دوستان ( مگر پست من Quote بشه :) )

دوست عزیز ،
اون سروری که بهش حمله میشه از چند راه میفهمه :

مشتری زنگ میزنه میگه ساعت 12 تا 4 سرور داون بود . منیجر میره چک میکنه میبینه اره حمله بوده . پس : لاگ چک .
مشتری میره توی صفحه اول سایتش میبینه نوشته : Hacked By Hacker . میفهمه که از طریق باگ برنامه نویسی هک شده .
مشتری میبینه سرعت دانلود اومده پایین : میره لاگ چک میکنه میبینه اره فلان IP داره بد جور درخواست میفرسته

اما اینکه بگم اره برو اینجا میفهمی حمله XSS الان داره انجام میشه ، نه این طوری نیست .

بعدش هم قصد من از ایجاد این تاپیک این است که برنامه نویسانی که تازه شروع به کار کردن باید به چه نکاتی دقت کنند تا هک نشوند بعد اون هم من فقط میخوام ip طرف و نوع حمله ای که انجام داده رو ثبت کنم

تجربه ،
استفاده از تجربیات ،
بالا بردن سطح کد نویسی .
توکل به خدا :دی

موید باشی عزیزم .