یه مشکل عجیب در لیست کاربران سایت [بایگانی]

View Full Version : یه مشکل عجیب در لیست کاربران سایت

LostOfMind

چهارشنبه 09 اسفند 1391, 17:12 عصر

سلام
من یه سایت رو به عنوان پروژه دانشگاه نوشتم
امروز رفتم به لیست کاربران این سایت نگاه کردم
77 کاربر ثبت شده بود با نامهای عجیب
این آدرس رو ببینید خالی از لطف نیست
http://mahdikhoshru.ir/rl_Forums/BrowseUsers.aspx
به نظر شما این چی میتونه باشه؟

mRizvandi

چهارشنبه 09 اسفند 1391, 18:20 عصر

این می تونه یه هک باشه، البته مسلما کدهای شما مشکل داره و یک نفر به راحتی کلی کاربر ساخته!

LostOfMind

چهارشنبه 09 اسفند 1391, 18:52 عصر

من برای عضویت از کنترلهای استاندارد ویژوال استفاده کردم
پس اگه اینطور باشه نمیشه از این کنترل ها استفاده کرد؟!!!!

bftarane

چهارشنبه 09 اسفند 1391, 19:40 عصر

این می تونه یه هک باشه، البته مسلما کدهای شما مشکل داره و یک نفر به راحتی کلی کاربر ساخته!
يعني به طور يکدفعه اين تعداد کاربر رو ايجاد کرده؟ کسي مي تونه يه توضيحي بده مثلاً چه جوري؟ من چيزي به ذهنم نمي رسه.

aliblue

چهارشنبه 09 اسفند 1391, 20:39 عصر

به نظر من یه نفر میخواسته هک کنه.بوسیله sql injunction یعنی جایی که قراری اطلاعاتی به دیتابیس فرستاده بشه (مثلا فیلد نام کاربری) یک سری کد وارد کرده.البته تو این زمینه وارد نیستم یه نظر همینطوری دادم.

bftarane

چهارشنبه 09 اسفند 1391, 20:53 عصر

آره منم در مورد Sql injection شنيدم ولي تا جايي که مي دونم وقتي ميشه از اين طريق عمليات مخرب انجام داد که از پارامترها استفاده نشده باشه
ولي ايشون مي گن از خود Create User Wizard استفاده کردن و بنابراين برام تعجب آوره که مسائل امنيتي از طرف مايکروسافت در نظر گرفته نشده باشه.

aliblue

چهارشنبه 09 اسفند 1391, 21:00 عصر

ایشون کجا نوشتن که از Create User Wizard استفاده کردن؟
اگر هم استفاده کرده باشه شاید توی تنظیماتش تغییراتی داده که اجازه ثبت هر کاراکتری رو بده.

bftarane

چهارشنبه 09 اسفند 1391, 21:35 عصر

من برای عضویت از کنترلهای استاندارد ویژوال استفاده کردم
پس اگه اینطور باشه نمیشه از این کنترل ها استفاده کرد؟!!!!
من با توجه به اين جمله گفتم.

morteza_mokhtari

چهارشنبه 09 اسفند 1391, 22:17 عصر

acunetix یک نرم افزار امنیتی که توسط اون میشه باگ های یک سایت رو پیدا کرد تویه نام یکی از کاربرانی که ایجاد شده نام این نرم افزار نوشته شده احتمالا با این نرم افزار تست کرده.

sh.eng

چهارشنبه 09 اسفند 1391, 22:34 عصر

به نظر من که ممکنه حتی اشکال از کدها نیز نباشه :لبخندساده: و مطمئنا هم با توجه به نحوه ثبت نام کاربر، اصلا نمیتوان بر روی کنترل عضویت asp.net خورده گرفت! شما فقط یک نکته را فراموش کردید. همین.

آیا بهتر نبود برای ثبت نام از captcha نیز استفاده میکردید؟ خب با این کار جلوی ثبت نام های مکرر که توسط غیر انسان انجام میشه نیز جلوگیری می کنید.
موفق باشید.

LostOfMind

چهارشنبه 09 اسفند 1391, 23:07 عصر

از همه شما ممنونم به خاطر نظرات خوبتون
من از Create User Wizard استفاده کردم
تغییرات زیادی هم در تنظیماتش انجام ندادم
همه ی این کاربر ها توی یک روز ثبت شدن
حتما دیدین که ایمیل همه ی این کاربران یکیه
احتمال داره شخصی خاصی این کار رو انجام نداده باشه، کسی بیکار نیست وقتش رو فقط صرف ثبت کاربر کنه!
باید از captcha استفاده می کردم.
توی یه انجمنی پیشنهاد کرده بودن که از کنترل های لوگین ویژوال استفاده نکنیم،بجاش خودمون جداول کاربران و نقش ها رو ایجاد کنیم
دو دلیل گفته بود یکیش این بود که پایگاه داده ای که از این طریق ساخته میشه حجم زیادی داره و دومیش این بود که اگه خطایی رخ داد قابل پیگیری نیست
من خودم با هردو دلیل موافق هستم

mRizvandi

یک شنبه 04 فروردین 1392, 00:45 صبح

کنترلهای لاگین و به طور کلی مدیریت کاربران توسط ASP.NET شاید برای پروژه های کوچیک، زیاد و حجیم به نظر بیاد، اما برای پروژه های بزرگ خیلی عالیه. پیاده سازی همین مدیریت کاربران در پروژه های بزرگ بسیار هزینه بر خواهد بود. پیاده سازی، Role, Rule, Folder Access , ... مناسب پروژه های بزرگ هست و بسیار هم ایمن.
در خصوص بروز خطا، من شک دارم، چون همه چی در حدی که نیاز بوده در دسترس هست و من به شخصه در این خصوص مشکلی نداشتم که خیلی هم راضیم.