سلام دوستان بنده تویه سایت موارد امنیتی زیر رو لحاظ کردم میخوام ببینم آیا مورد امنیتی دیگه ای هست که بتونه برای وب سایت بنده خطر ایجاد کنه.برای حملات xss از antixss مایکروسافت و برای حملات sql injection هم از تکنولوژی Linq استفاده کردم.البته نمیدونم که تونستم تمام حفره های امنیتی رو بگیرم یا نه؟برای جلوگیری از شنود رمز عبور هم نام کاربری رو به همراه هش پسورد و یک عدد تصادفی که از سمت سرور میاد توسط کلید عمومی سمت کلاینت رمز میکنم و به سمت سرور ارسال میکنم.فقد حمله Dos میمونه که چون سایت من خیلی مهم نیست جلوگیری ای این حمله هم احتیاج نیست.
1- مزیت های امنیتی
1. جلوگیری از حملات XSS
2. جلوگیری از حملات Sql Injection
3. جلوگیری از شنود رمز عبور
4. جلوگیری از ارسال مجدد رمز عبور شنود شده
5. ذخیره رمز عبور هش شده در جدول به جای ذخیره خود رمز عبور
6. ذخیره کلید عمومی و کلید خصوصی در جدول به جای ذخیره آن در یک فایل Xml
7. استفاده از جاوااسکریپت و عبارات منظم برای ورود صحیح اطلاعات سمت کلاینت
8. استفاده از عبارات منظم برای چک کردن صحت ورود اطلاعات در سمت سرور
9. استفاده از کیبورد مجازی برای ورود اطلاعات برای جلوگیری از حملات ثبت کننده کلید
10. تغییر آسان کلید عمومی و کلید خصوصی برای عمل رمز نگاری
11. مخفی شدن صفحه لاگین پس از سه بار لاگین نا موفق
12. استفاده از تصاویر امنیتی در هنگام ورود اطلاعات
13. جلوگیری از حملات Dos (پنهان شدن صفحه لاگین پس از 3 بار لاگین ناموفق , استفاده از Jquery Captcha , غیر فعال شده دکمه لاگین در هنگام پردازش اطلاعات)
14. عدم نمایش جزئیات خطاهای ایجاد شده در سایت
15. ثبت اطلاعات کاربری برای جلوگیری از جرائم سایبری(IP, Browser, Platform, Date , ….)

2- معایب امنیتی
1. آسیب پذیر بودن صفحه لاگین در برابر حمله MITM( رمز عبور قبل از رمزنگاری توسط تروجان ربوده شده و به سرور یا ایمیل مهاجم ارسال می شود.)
2. کیبورد مجازی ثابت به جای استفاده از کیبورد مجازی پویا(شبیه کیبورد مجازی بانک ملی ایران)

داداش واسه کجا نوشتی سایت رو؟؟:لبخندساده:
خیلی خوبه که موارد امنیتی رو رعایت کردید.
در مورد نکته شماره 13 باید عرض کنم که حملات DOS یا DDOS اصلاً ربطی به نرم افزار شما نداره! DOS میاد سرور رو از ارائه خدمات باز میداره (با از بین بردن منابع سرور) مثل این میمونه که یک میلیون بازدید در ثانیه داشته باشید!
ناسا رو با همین روش میشه DOS کرد، به همین راحتی و به همین خوشمزگی :بامزه:
خیلی دوست عزیز خودتو در گیر این چیزا نکن چون بعضی از موارد اصلاً از حیطه کاری شما خارجه و نمیتونید روش نظارتی داشته باشید! مثلاً سیستم صاحب وب سایت رو هک می کنن در نتیجه پسوردش لو میره. اصلاً چرا راه دور بریم، Admin به همکارش دسترسی میده، همکار هم سیستم رو ناخواسته به فنا میده.

نکته: برای Login حتماً از Captcha Code استفاده کن.

موفق باشید

سلام خوبه!SSLرو کم داره فقط:لبخند:

ممنون از اینکه پاسخ دادید من خودم دو تا کتاب امنیت خوندم که جزء دروس دانشگاهم بود.سعی کردم مواردی رو که یاد گرفتم تویه سایتم پیاده کنم . منظورم بیشتر از طرح این تاپیک این بوده آیا حمله ی دیگه ای به جز مواردی که دکر کردم وجود داره یا نه مثلا حمله xsrf که تویه تالار PHP مطرح شده چیه؟ بنده انواع حملات به وب سایت های معمولی(نه وب سایت های تجارت الکترونیک شبیه سایت بانک) رو مد نظرم هست؟ لطف کنید اگه حمله دیگه ای وجود داره بگید که در موردش تحقیق کنم. در ضمن فکر نکنم به همین راحتی بشه ناسا رو هک کرد . فکر کنم روش های برای جلوگیری از حملات Dos وجود داشته باشه.البته جلوگیری کامل از حملات Dos فکر کنم خیلی مشکل باشه.

سلام جیگر
راستش درست حوصلم نشد متنت رو بخونم منو ببخش .

اما اگه این نکات رو رعایت نکردی بر طرفشون کن:

- محافظت از وب کانفیگ با رمز نگاری اون
- ارسال پارامتریک نام ستون و جداول و کانکشن .خلاصه دستورات رو پارامتری ارسال کن وثابت نزار
- استفاده از store procedure
- جلوگیری از ورود کدهای مخرب
امید وارم به دردت بخوره.
منبع:msdn مایکروسافت

ممنون میشم از دوستایی که آشنایی بیشتر در این زمینه دارن بنده رو بیشتر راهنمایی کنند. با تشکر

دراپلود فایل هایی هم که کاربر اپلودمیکنه دقت کن فایل اسکریپتی اپلود نکنه رو سرور

برای جلوگیری از حملات دی داس باید از فایروال کمک گرفت به نظرم. درواقع فایروال تمامیه درخواست ها رو آنالیز میکنه و از خود عبور میده . و بصورتی هم میشه اونو ست کرد جوری که اگر از یک هاست بیش از حد ریکوئست رسید اونو بلاک کنه .
اما تا جایی که میدونم نیمشه بصورت 100% اونو کنترل کرد .

سلام دوستان
عارضم خدمت شما بزرگواران که من این رو یاد گرفتم که همیشه توی بحث امنیت 100 درصدی نیست و یکی یه جایی پیدا میشه و از سد امنیتی شما رد میشه!
شما نمیتونید همه موارد رو نرم افزاری در نظر بگیرید، بخش سخت افزاری هم بسیار مهم و تاثیر گذاره. همونطوری که دوستان اشاره کردند استفاده از فایروال برای سرور ها الزامی است چون بخش بزرگی از مشکلات رو جلوش رو میگیره (بحثش زیاده این فایروال). و اگر شما سروری خریداری کردید باید این موضوع رعایت بشه و کانفیگتون قوی باشه.
ساختار حملات DOS یا Denial Of Service خیلی پیچیده تر از اونی هست که من عرض کردم اما واقعاً شدنیه اما نیاز با ابزارهای خودش رو داره (اما باور بفرمایید که شدنیه). اما خیالتون راحت، سایت من و شما رو اینجوری کسی نمیاد هک کنه (مشتریای من که لااقل مال این حرفا نبودن که کسی اینحوری هکشون کنه:لبخند:)
یادش بخیر اون زمان که از این شیطنت ها می کردیم یه سایت اکسپلویتی به نام Millw0rm بود که باگ امنیتی یا اکسپلویت ها رو میزاشت و ما هم بهره می بردیم:شیطان:
توصیه می کنم که به منابع انگلیسی زبان مراجعه کنید، فرومهای امنیتی قویی هست که میتونید استفاده کنید.
همچنین اگر میخواید یه همچنین سیستم قویی پیاده کنید باید مونیتورینگ قویی هم برای سیستمتون در نظر بگیرید!

خاطره:
یه بار توی بخش Error Handling یه سایتی یه کدی رو از یه هکر چینی دیده بودم که کوئری SQL رو توی URL تزریق کرده بود (با چه مهارتی!!!) که مثل بنز کار میکرد! اوننم با این حساب که ما تو خوابم فکر نمیکردیم یکی بتونه همچین حرکتی رو توی URL بکنه!

دست بالای دست بسیار است!

http://barnamenevis.org/showthread.php?91241-%D8%B1%D9%88%D8%B4-%D9%87%D8%A7%DB%8C-%D9%85%D8%AD%D8%A7%D9%81%D8%B8%D8%AA-%D9%88-%D9%85%D9%88%D8%A7%D8%B1%D8%AF-%D8%B1%D8%B9%D8%A7%DB%8C%D8%AA-%D8%A7%D8%B5%D9%88%D9%84-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D8%AF%D8%B1-%D8%A8%D8%B1%D9%86%D8%A7%D9%85%D9%87-%D9%87%D8%A7%DB%8C-ASP.NET&highlight=xss