سلام دوستان
با توجه به اينكه سايت هاي من بصورت مديريت محتوي طراحي ميشن كاربر ميتونه مقالات - كاتالوگ و نرم افزارهاي مورد نياز بازديد كنندگان رو از طريق پنل مديريت محتوي سايت آپلود كنه كه بعنوان مثال در دايركتوري wwwroot سايت تو مسير admin/article/ ذخيره ميشه
اگر من تو بخش دانلود سايت كه قابل مشاهده توسط بازديدكننده هستش لينك هاي دانلود مقالات رو بزارم كاربر راحت ميتونه با قرار دادن نشانگر موئس بر روي لينك دانلود آدرس فيزيكي اون رو روي سرور پيدا كنه كه در حقيقت يك پوشه Full Control از نظر ذخيره فايل هستش و براحتي هكر ها ميتونن داخل اين پوشه ها فايل آپلود كنن.
لطفاً روش هاي جلوگيري از اين موضوع رو بگين
چون خيلي ها حواسشون به اين موضوع نيست
مرسي

directory browsing ro bband
بعدشم الکی که نیست
برای آپلو کردن فایل باید یه آپلودر باشه که هکر بتونه بهش دسترسی داشته باشه

عزيزم اين ضعفي هستش كه يك هكر يه من گفته
نبايد راحت از كنارش گذشت

username و pasword برای ftp سایت نیازه برای چنین کاری ...

سلام دوستان
با توجه به اينكه سايت هاي من بصورت مديريت محتوي طراحي ميشن كاربر ميتونه مقالات - كاتالوگ و نرم افزارهاي مورد نياز بازديد كنندگان رو از طريق پنل مديريت محتوي سايت آپلود كنه كه بعنوان مثال در دايركتوري wwwroot سايت تو مسير admin/article/ ذخيره ميشه
اگر من تو بخش دانلود سايت كه قابل مشاهده توسط بازديدكننده هستش لينك هاي دانلود مقالات رو بزارم كاربر راحت ميتونه با قرار دادن نشانگر موئس بر روي لينك دانلود آدرس فيزيكي اون رو روي سرور پيدا كنه كه در حقيقت يك پوشه Full Control از نظر ذخيره فايل هستش و براحتي هكر ها ميتونن داخل اين پوشه ها فايل آپلود كنن.
لطفاً روش هاي جلوگيري از اين موضوع رو بگين
چون خيلي ها حواسشون به اين موضوع نيست
مرسي
ایول راست میگی میشه راحت هک شد به این روش یه فایل اجرائی بزاره میتونه یه کارهائی بکنه یه راه حل داره کار هکررو یکمی سخت کنیم پوشه روی هاست و نامه ائی که آپ میشه هش کنی من تست کردم و لوکال جواب دادا اینجوری آدرس سایت معلومه ولی پوشه وفایلی که در اون ذخیره میشه قاطی میشه وتشخیصش یکمی سخت میشه. برو تو بحرش ببین چیکار میتونی بکنی رو لوکال تست کردم آدرس سایت به همراه تعدادی کد هش شده در url دیده میشه که معلوم نیست آدرس پوشه است یا برنامه د ضمن باید فایلی که آپ میشه با یه عدد راندم اسمش عوض بشه تا کسی که فایل و آپ میکنه اصلان ندونه به چه اسمس داره هش با md5

سلام دوست عزيز
md5 يك الگوريتم يك طرفه هستش
شما زمانيكه فايل رو آپلود ميكني فايلتو تغيير نام ميدي و تو پوشه مورد نظر آپلود ميكني و بعد Url اونو تو ديتابيس ذخيره ميكني
من نفهميدم شما چوري كار كرديد ميشه بيشتر توضيح بديد
ممنون

سلام اول یه سری به این آدرس بزن md5 رو کد ودیکود میکنه یه خرده اونجا تست کن
http://www.md5online.org/md5-decrypt.html
بعدش مثلا آدرس فایلهای روی هاست ما اینه www.barnamenevis.org/image/aks.jpg بگو خب البته نظر منه(آدرس سایت که باید باشه ) ما میائیم اسم پوشه رو
کد میکنیم یه متن32 کارکتری میده بگوخب. اسم فایلمونو هم که داریم با یه عدد راندوم عوضش میکینیم حالا تو برنامه میگیم که این عدد راندوم را با الگوریتم md5 کد کنه در یه متغیر میریزیم قبل از ذخیره کردن نام فایل. دوباره فقط این قسمت رو (/mage/namefile) نام پوشه که قبلان کد شده با دوتا اسلش و نام فایل همه رو باهم کد میکنیم اینجوری باز یه متن 32 کاراکتری بدست میاد که دیکد هم نمیشه اونو میزاریم جای نام فایل وپوشه به اضافه نوع فایل منظورم درست تو این قسمت jpg ya .mp3 ya .zip www.barnamenevis.orgbb8cabda89215ba634037d38f4c416 a4.zip خب اینم بگم که من این مراحل رو وقت نکردم بصورت آنلاین تست کنم اینارو تو لوکال انجام دادم موقع دانلود همین آدرسو نشون میده که اگه هکر این آدرسو هم داشته باشه بازم نمی تونه دیکد کنه و اسم پوشه وفایل رو بفهمه واگه خودش هم فایلی آپ کرده باشه چون اسمش تغییر کرده دیگه نمیتونه دوباره دانلود کنه (منظورم فایل جاسوسی هستش که هکر میزاره رو هاست و بعدا ز بعدتی بخواد اونو دان کنه) نمیدونم تونستم منظورمو بگم یا نه. این مثلا کد پوشه به اضافه دوتا اسلش و نام فایلmd5=bb8cabda89215ba634037d38f4c416a4

اسم پوشه و اسم فایلت روی هاست باید همون 32 کاراکتری باشه که باالگوریم md5 بدستش آوردی. مثلا الگوریتم پوشه شده32 کارکتر image= 05b07acde93273b8b430c4f265ee338e واسم فایلت یه همچین کدی namefile=3c59dc048e8850243be8079a5c74d079 حالا این دوتارو با دو اسلش چپ وراستش همه رو باهم
کد میکنیم میشه md5=bb8cabda89215ba634037d38f4c416a4

اگه تست کردی همیجا مطرح کن یا خبرم بده ببینم چیکارکردی.