View Full Version : سوال: امنیت پوشه مدیر
razeyeh_sh
چهارشنبه 01 شهریور 1391, 10:37 صبح
سلام.من یه سایت طراحی کردم و بخش های عضویت رو خودم ساختم.
وبرای دسترسی به صفحات مدیر گفتم که اگر usernameبرابر admin بودوارد صفحه بشه.برای احراز هویت هم از سشن استفاده کردم.
سوال اول اینکه آیا این روش میتونه خطر ساز باشه؟امنیتش چطوره؟آیا روش غلطیه؟از لحاظ امنیت.
سوال دوم اینکه شنیدم که باید صفحات ادمین توی یک پوشه جدا باشه برای امنیت بیشتر.خب حالا من
صفحات مدیریتی رو توی پوشه ادمین گذاشتم.حالا چیکار بایدبکنم؟چه کدی بنویسم برای مدیریت پوشه؟کجاش؟آیا توی فایل وب کانفیگ ؟
sabzehbzsa
چهارشنبه 01 شهریور 1391, 10:49 صبح
میتونی تو قسمت Asp.net configuration(ایتم چکش تو solution) دسترسی به پوشه مدیر رو فقط محدود به کاربر admin کنی
razeyeh_sh
چهارشنبه 01 شهریور 1391, 11:00 صبح
میتونی تو قسمت Asp.net configuration(ایتم چکش تو solution) دسترسی به پوشه مدیر رو فقط محدود به کاربر admin کنی
ببخشید میشه بیشتر توضیح بدین.نفهمیدم چجوری میگین:گریه::گریه:
mehdi_gerami65
چهارشنبه 01 شهریور 1391, 11:17 صبح
اگه درست و حسابی با سیژن کنترل کنی تمام جوانب خطر رو درنظر بگیری مانند sqlInjection یا ScriptInjection سایر موراد رو در نظر بگیری هیچ خطری تهدید نمیکنه
razeyeh_sh
چهارشنبه 01 شهریور 1391, 11:37 صبح
ممنون که راهنمایی کردین.من برای جلوگیری از sqlinjection از stored procedure برای توابع ام استفاده کردم.
برای جلوگیری از xss هم از html encode استفاده کردم.کنترل های ولیدیشن هم همه جا به کار برده شده.
به نظرتون کافیه؟
این ScriptInjection چیه؟مقابله باهاش چطوریه؟
mehdi_gerami65
چهارشنبه 01 شهریور 1391, 11:45 صبح
همونی که گفتین XSS که کنترل کردین
piramit
چهارشنبه 01 شهریور 1391, 22:27 عصر
دوست عزیز شما میتونید با قرار دادن یک فایل web.config در پوشه مورد نظر دسترسی رو به هر role یا user که خواستید بدهید که من مثال محتویات فایل رو براتون نوشتم :
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.web>
<authorization>
<allow roles="admin" />
<deny users="*" />
<deny users="?" />
</authorization>
</system.web>
</configuration>
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.