من یه طرحی توی ذهنم دارم ولی نمی دونم چقد می تونه منطقی باشه و یا اصلا به درد می خوره یا نه
دیدم با این نرم افزار ها (مثلا هویج ) سایت رو اسکن می کنن و صفحه ی ادمین پنل رو پیدا می کنن و از اونجا هک رو شروع می کنن
حالا من می خوام قسمت ادمین پنل رو جایی غیر از پوشه ی admin بذارم مثلا پوشه ی pop
این کار چقد می تونه توی امنیت تاثیر داشته باشه . البته طرح من اینه که همون پوشیه ادمین رو هم کنار پوشه ی pop بسازم . منتها فقط یه فرم لاگین توش بذارم که به هیچ جا وصل نیست و فقط پیغام اشتباه بودن یوزر و پسورد رو میده ... اینجوری هک یه چند ساعتی رو اونجا الاف میشه و اگه یه هکر تازه کار باشه بی خیال میشه
نظر شما چیه ؟!؟

درسته اگه تازه کار باشه بیخیال میشه اما اگه حرفه ای باشه وقت یه کم وقتشو میگیره اما بازم هک میشه

سلام

سعی کنید به جای این کارا رو امنیت پروژتون کار کنید، راههای نفوذ مثل XSS و Sql Injection و کلی راههای نفوذ دیگه هست که با سرچ تو گوگل میفهمید.

اگه یک هکر کار بلد باشه 100% طبق تجربه متوجه این موضوع میشه!! پس شما سعی کنید کدی که میزنید اصولی و دارای امنیت بالا باشه، کلیه ورودی هایی که از کاربر میگیرد رو بررسی و فیلتر کنید، اگه بخشی واسه آپلود فایل دارید اجازه ندید هر فایلی آپلود بشه یا مثلا مراقب کوکی ها و سشن ها باشید، هرگز نام کاربری یا رمز عبور رو تو سشن یا کوکی ذخیره نکنید؛ سعی کنید مکانیزم لاگین کاربر رو اصولی پیاده سازی کنید؛ مقادیری که در دیتابیس ذخیره میکنید رو بررسی کنید، مراقب کوئری ها باشید!!!!! اطلاعات خصوصی کاربران رو کدگذاری کرده سپس در دیتابیس ذخیره کنید و کلی مسائل امنیتی دیگه که تنها با مطالعه و تجربه کسب خواهید کرد.

میدونی چیه؟! من از یه هکر کلاه سفید حرفه ای که اتفاقا ایرانی هم نبود شنیدم میگفت بعضی وقت ها نفوذ به بعضی جاها خیلی برام سخته...
حرفش خیلی برام جالب بود! یعنی بالاخره به هر سیستمی نفوذ میکنه ولی چقد کار میبره و چقد زمان لازم داره، معلوم نیست!
حالا نتیجه ایی که میخوام بگیرم اینه که نمیشه جلوی نفوذ یه هکر واقعی رو گرفت! فقط میشه کار رو براش سختتر و زمانبر تر کرد(که دقیقا با کارهایی مثل همون کاری که گفتی میشه اینکارو کرد...)

سلام

سعی کنید به جای این کارا رو امنیت پروژتون کار کنید، راههای نفوذ مثل XSS و Sql Injection و کلی راههای نفوذ دیگه هست که با سرچ تو گوگل میفهمید.

اگه یک هکر کار بلد باشه 100% طبق تجربه متوجه این موضوع میشه!! پس شما سعی کنید کدی که میزنید اصولی و دارای امنیت بالا باشه، کلیه ورودی هایی که از کاربر میگیرد رو بررسی و فیلتر کنید، اگه بخشی واسه آپلود فایل دارید اجازه ندید هر فایلی آپلود بشه یا مثلا مراقب کوکی ها و سشن ها باشید، هرگز نام کاربری یا رمز عبور رو تو سشن یا کوکی ذخیره نکنید؛ سعی کنید مکانیزم لاگین کاربر رو اصولی پیاده سازی کنید؛ مقادیری که در دیتابیس ذخیره میکنید رو بررسی کنید، مراقب کوئری ها باشید!!!!! اطلاعات خصوصی کاربران رو کدگذاری کرده سپس در دیتابیس ذخیره کنید و کلی مسائل امنیتی دیگه که تنها با مطالعه و تجربه کسب خواهید کرد.
این مدت فقط دنبال جواب این سوال ها بودم و تقریبا نتایج خوبی داشته ولی در کل یه منبع کلی وجود نداره که همه ی بخش های هک سایت رو پوشش بده
یه خلاء توی این بخش حس می شه . یکی بیاد همه ی حملات هکرها رو اسم ببره و بعد هم راه های ضد هک رو شرح بده . البته شایدم هست و من خبر ندارم

میدونی چیه؟! من از یه هکر کلاه سفید حرفه ای که اتفاقا ایرانی هم نبود شنیدم میگفت بعضی وقت ها نفوذ به بعضی جاها خیلی برام سخته...
حرفش خیلی برام جالب بود! یعنی بالاخره به هر سیستمی نفوذ میکنه ولی چقد کار میبره و چقد زمان لازم داره، معلوم نیست!
حالا نتیجه ایی که میخوام بگیرم اینه که نمیشه جلوی نفوذ یه هکر واقعی رو گرفت! فقط میشه کار رو براش سختتر و زمانبر تر کرد(که دقیقا با کارهایی مثل همون کاری که گفتی میشه اینکارو کرد...)

یه کار دیگه ای که من می کنم اینه که وقتی ادمین می خواد لاگین کنه دفه ی اول(که پسورد صحیح رو می گیرم) می گم پسوردت اشتباه و دفه ی دوم وارد میشه . اینطوری هم می شه سر هکر رو گرم کرد . مگه اینکه طرف خیلی حرفه ای باشه

یه کار دیگه ای که من می کنم اینه که وقتی ادمین می خواد لاگین کنه دفه ی اول(که پسورد صحیح رو می گیرم) می گم پسوردت اشتباه و دفه ی دوم وارد میشه . اینطوری هم می شه سر هکر رو گرم کرد . مگه اینکه طرف خیلی حرفه ای باشه

آره کاره خوبی یه! میشه مثلا با چند تا از این ترفند ها سر هکر رو گرم کرد و از این فرصت استفاده کرد تا مدیر سایت رو خبر کرد... جلوی هک شدن رو گرفت یا حتی میشه IP هایی رو که تو اون صفحه قصد لاگین داشتن بلاک کرد و خیلی کار های دیگه.... راجب به مرجع همه ی راه های هک هم باید گفت که واقعا جایی که بیاد همه ی راه هارو بگه وجود ندار اونم به دو دلیل : 1. تو همه جهان هک های مخرب یه کار مخفیانه و به قول معروف زیر زمینیه 2. هک یعنی خلاقیت و پیدا کردن راه های جدید برای نفوذ ،پس همیشه یه راه جدیدی وحود داره که هکرهای کلاه سفید ازش خبر ندارند....

حملاتی مثل XSRF, Header Injection, Remote file inclusion, Session fixation, سرقت اطلاعات سشن؛ اینها برخی از حملاتی است که توسط هکرها انجام میشه. یا در مواقعی وقتی که register_globals فعال هست باعث میشه که راه واسه هکر هموار بشه و بتونه از این ویژگی سوء استفاده کنه. شما باید به تک تک این حملات چاره اندیشی کنید و تا جایی که میتونید امنیت رو ببرید بالا!

در ضمن Log هم یادتون نره، سعی کنید تا جایی که امکان داره از کلیه کارهایی که انجام میشه Log داشته باشید، اینجوری میفهمید که کاربر رو وب سایت شما چه کارهایی کرده و چه عملیاتی امنیت وب سایت شما رو پایین آوردن.

اینم یادتون باشه دست بالای دست زیاده!!!!!
یک هکر همیشه موفق نیست مگر اینکه راه نفوذ رو براش باز بزاریم. همانطور که هکر راههای تازه ای برای نفوذ پیدا میکنه یک برنامه نویس هم میتونه پیش دستی کنه و راههایی رو که احتمال میده هکر میتونه از اونا نفوذ کنه رو محدود کنه. البته همیشه امنیت دست برنامه نویس نیست و به مسئول شبکه هم مربوط میشه

آره کاره خوبی یه! میشه مثلا با چند تا از این ترفند ها سر هکر رو گرم کرد و از این فرصت استفاده کرد تا مدیر سایت رو خبر کرد... جلوی هک شدن رو گرفت یا حتی میشه IP هایی رو که تو اون صفحه قصد لاگین داشتن بلاک کرد و خیلی کار های دیگه.... راجب به مرجع همه ی راه های هک هم باید گفت که واقعا جایی که بیاد همه ی راه هارو بگه وجود ندار اونم به دو دلیل : 1. تو همه جهان هک های مخرب یه کار مخفیانه و به قول معروف زیر زمینیه 2. هک یعنی خلاقیت و پیدا کردن راه های جدید برای نفوذ ،پس همیشه یه راه جدیدی وحود داره که هکرهای کلاه سفید ازش خبر ندارند....
قبول دارم هیچ وقت نمیشه جلوی هکر رو گرفت ولی میشه یه کاری کرد 90 درصد هکر ها نتونن یه سایت رو هک کنن و اون ده درصد هم یه چند روزی رو وقت بذارن و ... چون فک کنم سال 87 یا 86 بود که حتی گوگل هم هک شد
ولی در مورد اینکه یه بخش به اسم ضد هک وجود داشته باشه خیلی جالب میشه . همه ی اطلاعات پراکنده رو یه جا جم کرد و حداقل جلوی جوجه هکرها رو گرفت

حملاتی مثل XSRF, Header Injection, Remote file inclusion, Session fixation, سرقت اطلاعات سشن؛ اینها برخی از حملاتی است که توسط هکرها انجام میشه. یا در مواقعی وقتی که register_globals فعال هست باعث میشه که راه واسه هکر هموار بشه و بتونه از این ویژگی سوء استفاده کنه. شما باید به تک تک این حملات چاره اندیشی کنید و تا جایی که میتونید امنیت رو ببرید بالا!

اینم یادتون باشه دست بالای دست زیاده!!!!!
یک هکر همیشه موفق نیست مگر اینکه راه نفوذ رو براش باز بزاریم. همانطور که هکر راههای تازه ای برای نفوذ پیدا میکنه یک برنامه نویس هم میتونه پیش دستی کنه و راههایی رو که احتمال میده هکر میتونه از اونا نفوذ کنه رو محدود کنه. البته همیشه امنیت دست برنامه نویس نیست و به مسئول شبکه هم مربوط میشه

حداقل منه برنامه نیس باید کارم رو درست انجام بدم بقیه اش دیگه می مونه مسئول شبکه و هاستیگ

به این روش (ساخت یک مکان جعلی برای سرگرم کردن هکر) اصطلاحاً میگن SandBox و روش خوبی هم هست و توسط اون میتونید یکسری اطلاعات از هکر جمع آوری کنید و حتی میتونید واقعاً مثل محیط Admin طراحی کنید ولی وقتی تونست بهش نفوذ کنه، یکسری اطلاعات جعلی بهش بدین که فکر کنه واقعاً سایت هک شده (یک دیتابیس دیگه رو در اختیارش بگذارین) ولی بجای قراردادن بخش مدیریت توی یک پوشه دیگه، بهتره کلاً توی یک SubDomain بگذارینش.

به این روش (ساخت یک مکان جعلی برای سرگرم کردن هکر) اصطلاحاً میگن SandBox و روش خوبی هم هست و توسط اون میتونید یکسری اطلاعات از هکر جمع آوری کنید و حتی میتونید واقعاً مثل محیط Admin طراحی کنید ولی وقتی تونست بهش نفوذ کنه، یکسری اطلاعات جعلی بهش بدین که فکر کنه واقعاً سایت هک شده (یک دیتابیس دیگه رو در اختیارش بگذارین) ولی بجای قراردادن بخش مدیریت توی یک پوشه دیگه، بهتره کلاً توی یک SubDomain بگذارینش.

subdomain که فقط یه آدرسه و ارجاع داده میشه به یه فولدر تو همون هاست، مگه اینطوری نیست؟؟ خوب پس اگه اینطوری باشه چه فرقی میکنه که با subdomain وصل بشه یا نه؟!؟!

من خودم به شخصه توي سي ام اس ي که طراحي کردم انتخاب نام فولدر مديريت سايت رو به عهده کاربر گذاشتم .ميتونه هر چند وقت يکبار هم اسم اونو تغيير بده دقيقا کاري که توي جوملا نميشه اون کار و کرد.
روش دروپال هم به نظرمن خوب و مناسب که بخشي به نام مديريت مجزا از کد اصلي وجود نداره و مديريت جزئي از خود سايت هست

subdomain که فقط یه آدرسه و ارجاع داده میشه به یه فولدر تو همون هاست، مگه اینطوری نیست؟؟ خوب پس اگه اینطوری باشه چه فرقی میکنه که با subdomain وصل بشه یا نه؟!؟!
درسته ولی کنترل روی ساب دامین بیشتره و ازطرفی هکرها هم بیشتر دنبال ساب فولدر میگردن و با htaccess. میشه درخواستهای Subdomain رو کلاً بصورت مجزا از سایت اصلی کنترل کرد و سشنها و کوکیها هم تفکیک میشه و کلی امتیازات دیگه. مثلاً ممکنه حواستون نباشه و برای کنترل ورود و خروج کاربر در هر دو بخش مدیریت و بخش کاربری، از ['SESSION['login_$ استفاده کرده باشین و اینطوری، کسی که توی بخش کاربری لاگین کنه، به بخش مدیریت هم دسترسی داره و میتونه وارد بشه ولی در ساب دامین اینطور نیست.