سوال: امنیت در سایت [بایگانی]

minaalamshahi

چهارشنبه 22 خرداد 1392, 16:10 عصر

من می خوام یه سایت طراحی کنم که توش مسائل مالی مطرح هست
برای همین امنیتش واسم خیلی مهمه

سعی کردم sql injection رو رعایت کنم
فایل هامو rename کنم بعد از آپلود

فایلهای asp ,aspx,php رو آپلود نکنم

با session ورود به هر صفحه رو چک می کنم

اما دیگه نمی دونم چه مسائلی وجود داره که برای بحث امنیت سایت باید بهش توجه بشه

ممنون میشم منو راهنمایی کنید

younesdoost

چهارشنبه 22 خرداد 1392, 16:18 عصر

از آژاکس هم تو سایتتون استفاده کردید؟

minaalamshahi

چهارشنبه 22 خرداد 1392, 16:24 عصر

بله
jquery ,ajax
ajaxtoolkit
update panel
همه رو دارم

younesdoost

چهارشنبه 22 خرداد 1392, 16:30 عصر

بله
jquery ,ajax
ajaxtoolkit
update panel
همه رو دارم
پس موقع استفاده از آژاکس دقت کنید که وقتی می خواید یک object رو به طور آژاکس از دیتابیس بخونید فقط اون فیلدهایی ازش رو select کنید که نیاز دارید چون به صورت دیفالت کل آبجکت پاس داده میشه و هر کسی می تونه با استفاده از یه Firebug اونچه بین سیستم شما و سرور رد و بدل شده رو ببینه.حالا فرض کنید اون آبجکتی که با استفاده از آژاکس از دیتابیس می کشیدش بیرون یه کاربر باشه.فاجعه وقتی شکل می گیره که اون کاربر با نام و پسورد و همه چیزش میاد که بر همه عیان است.پس اگه فقط نامش رو می خواید نامش رو select کنید.یا مثلا اطلاعات یک حساب یا تراکنش در سایت شما...

otokart

چهارشنبه 22 خرداد 1392, 16:32 عصر

من می خوام یه سایت طراحی کنم که توش مسائل مالی مطرح هست
برای همین امنیتش واسم خیلی مهمه

سعی کردم sql injection رو رعایت کنم
فایل هامو rename کنم بعد از آپلود

فایلهای asp ,aspx,php رو آپلود نکنم

با session ورود به هر صفحه رو چک می کنم

اما دیگه نمی دونم چه مسائلی وجود داره که برای بحث امنیت سایت باید بهش توجه بشه

ممنون میشم منو راهنمایی کنید
پس با یه دامین خوب و هاست مطمعن شروع کنید موفق میشید

zerocool151

پنج شنبه 23 خرداد 1392, 00:34 صبح

پس با یه دامین خوب و هاست مطمعن شروع کنید موفق میشید
خیلی این حرفو جدی بگیر
هرچی هم که سایتت ضد هک و این داستانا باشه اگه سرور هک بشه که اصولا میشه تمام زحمتات هیچ بوده

r_s1389@yahoo.com

پنج شنبه 23 خرداد 1392, 11:59 صبح

فایلهای asp ,aspx,php رو آپلود نکنم ؟؟؟؟
دوست عزیزم میشه این گفته ات رو برا من خردش کنی اگه اون ها رو آپلود نکنیم پس چی رو آپلود کنیم

mohsen_1687

پنج شنبه 23 خرداد 1392, 23:06 عصر

منظورشون اینه تو uploader هایی که داره اجازه اپلود این فایل هارو نده , مثلا کاربرا فقط بتونن عکس اپلود کنن نه فایلهایی با پسند مشکوک مثل : exe , asp , aspx , php , pl , ...
دوستان کسی میدونه چطور میشه از اپلود این فایلها جلوگیری کرد ؟؟؟ abc;aspx.jpg

پروگرامنویس

جمعه 24 خرداد 1392, 10:13 صبح

منظورشون اینه تو uploader هایی که داره اجازه اپلود این فایل هارو نده , مثلا کاربرا فقط بتونن عکس اپلود کنن نه فایلهایی با پسند مشکوک مثل : exe , asp , aspx , php , pl , ...
دوستان کسی میدونه چطور میشه از اپلود این فایلها جلوگیری کرد ؟؟؟ abc;aspx.jpg

شما میتونید با چنین کدی فایل های روا برای آپلود رو گزینش کنید کد زیر تنها به فایلهایی که فرتور (عکس) هستند اجازه آپلود شدن رو میده

string ext1 = System.IO.Path.GetExtension(uppicpost.PostedFile.F ileName.ToLower());
bool b1 = false;

if (ext1 == ".png" || ext1 == ".jpg" || ext1 == ".gif" || ext1 == ".jpeg" || ext1 == ".bng")
b1 = true;
if (!b1)
{
msgpic.Text = "پسوندهای روا برای فرتور .png,.jpg,.jpeg,.gif,.bng میباشند!";
return;
}

minaalamshahi

شنبه 25 خرداد 1392, 09:16 صبح

آیا این کد شما فایلهایی رو که ماهیت عکس رو ندارند و فقط به پسوند های فرمت عکس rename شده باشند رو هم شامل میشه
ممکنه کاربر من یک فیل دیگه رو با این پسوند های عکس rename کرده باشه

forestasphalt

شنبه 25 خرداد 1392, 13:25 عصر

آیا این کد شما فایلهایی رو که ماهیت عکس رو ندارند و فقط به پسوند های فرمت عکس rename شده باشند رو هم شامل میشه
ممکنه کاربر من یک فیل دیگه رو با این پسوند های عکس rename کرده باشه
PostedFile.ContentType میتونی برای برسی کردن پسوند فایل ها استفاده کنی که با rename کردن فایل هم عوض نمیشه