View Full Version : سوال: امنیت سایت(خیلی خیلی مهم و فوری)
Mohammad_dn
پنج شنبه 19 دی 1392, 23:24 عصر
با سلام...من با نرم افزار Acunetix Web Vulnerability Scanner 9 امنیت سایتمو برسی کردم...اما از خطا هایی که در رابطه با سایتم میده سردر نمیارم....لطفا ..خواهشا اگه کسی میتونه راهنماییم کنه....:ناراحت::ناراحت::ناراح :
ممنون میشم اگه سایت منو یه بار خودتون اسکن کنید و بهم توضیح بدید که این خطا ها چین و چطور میتونم برطرفشون کنم....
خیلی فوری نیاز دارم
تشکر
ahmad156
پنج شنبه 19 دی 1392, 23:31 عصر
:لبخند::لبخند::لبخند::لبخند:: بخند::لبخند::لبخند::لبخند::ل خند::لبخند::لبخند::لبخند::لب ند::لبخند::لبخند:
کدوم سایت؟؟؟!!!
Mohammad_dn
پنج شنبه 19 دی 1392, 23:37 عصر
http://www.zehneroshan.ir (http://www.zehneroshan.ir/)
ahmad156
پنج شنبه 19 دی 1392, 23:42 عصر
وای پاکش کردم acunetix رو:ناراحت:.متن خطا یا تصویرش رو بذار
Mohammad_dn
پنج شنبه 19 دی 1392, 23:47 عصر
من حواسم نبود و خطا هارو ذخیره نکردم....:گریه::گریه::گریه::گر ه::گریه:
اگه میشه....یه بار دانلود کنید حجمش بالا نیست:افسرده::افسرده::افسرده:
ahmad156
پنج شنبه 19 دی 1392, 23:57 عصر
خب یه بار دیگه اسکن کنین:لبخندساده:
Mohammad_dn
جمعه 20 دی 1392, 00:02 صبح
20 دقیقه طول کشید..ولی اگه بعدش مشکلم حل میشه باشه:افسرده:
Mohammad_dn
جمعه 20 دی 1392, 00:44 صبح
سلام....من دوباره اسکن کردم..یه کد خود برنامه بهم داد..اونو توی web.config قرار دادم و بسیری از خطا ها از بین رفتن اما هنوز ارور داره
ارور ها:
Option method is edabled
توضیحات خطا:
Vulnerability description
HTTP OPTIONS method is enabled on this web server. The OPTIONS method provides a list of the methods that are supported by the web server, it represents a request for information about the communication options available on the request/response chain identified by the Request-URI. Affected items
Web Server
The impact of this vulnerability
The OPTIONS method may expose sensitive information that may help an malicious user to prepare more advanced attacks.
How to fix this vulnerability
It's recommended to disable OPTIONS Method on the web server.
http://barnamenevis.Graphics/transparent-dot.gif Web references
Testing for HTTP Methods and XST (OWASP-CM-008) (http://barnamenevis.org/#open_new_window_https://www.owasp.org/index.php/Testing_for_HTTP_Methods_and_XST_(OWASP-CM-008))
خطای بعدی
sensitive could be cached
متن خطا:
Vulnerability description
This page contains possible sensitive information (e.g. a password parameter) and could be potentially cached. Even in secure SSL channels sensitive data could be stored by intermediary proxies and SSL terminators. To prevent this, a Cache-Control header should be specified. Affected items
/Login (181bbd82f66e35ff04e57da54a7a89ba)
/Login (274ef6b5b5fd977b06d60561c4b910cf)
/Login (3ef16bf17fcb5d4e18efb4ef61985fa0)
/Login (5bf7822c2d709f0948e753ff946a4754)
/Login (68e40a77fd4c25aeccca8d0d90c5a867)
/Login (a986c8db32efc4e0406b63d2e0ece21e)
/Login (ad38a36039d4f51adc5cd6433ba725e2)
/Login (c8d2685a524f87ddd792715c7c5454bb)
/Login (cb1d8687b2661a6a1859f7aaecf2131c)
/Login (cc063e6ce89b86864f129da3f34b129b)
/Login (d6868e529dc5903633843e39faf5a81d)
/Login (e4ef134043fc9fb86f8950d05c00edcf)
/Login (e850869ced4756f13aff727a375e937a)
/Login (e932cb90c7259548fe84e449d59547c7)
/Login (f38717d7e715f21a58bdee6f390c8c37)
/Login (f4ab5e696d993b0cd9c70c3cb94f17e4)
/Login (f703946dfc631887343157b0257c5119)
/Login (fa6e5828eef84dc292c6436ee22bb336)
/Login (fb06ae428bf0928cfd0ce60a2e1633e3)
/User/Profile (4486a0fa2542b9a066e45f7b2cfdcf2b)
/User/Profile.aspx (15a01ae5c7cc39eab2f5f8d04c8e45ce)
/User/Profile.aspx (1ca9443c6f39dbb8a0c5d0039f9e6519)
/User/Profile.aspx (274c232fc3c2e6ae758f53e99779e524)
The impact of this vulnerability
Possible sensitive information disclosure.
How to fix this vulnerability
Prevent caching by adding "Cache Control: No-store" to the page headers.
خطای بعدی:
session token in url
توضیحات:
Vulnerability description
This application contains a session token in the query parameters. A session token is sensitive information and should not be stored in the URL. URLs could be logged or leaked via the Referer header. Affected items
/News.aspx (20631d6b2d81f721b2c43337aeb9c905)
/News.aspx (eef57bb0b08701a94c37fb89dd3ce916)
The impact of this vulnerability
Possible sensitive information disclosure.
How to fix this vulnerability
The session should be maintained using cookies (or hidden input fields).
خطای بعدی:
broken links
توضیحات:
Vulnerability description
A broken link refers to any link that should take you to a document, image or webpage, that actually results in an error. This page was linked from the website but it is inaccessible. Affected items
/CaptchaImage.aspx (373b5fd4c0c2b425ee68511ca24682a5)
/CaptchaImage.aspx (4e2a415f3363cf69cd6f9b912a2341aa)
/CaptchaImage.aspx (5f12c0038f7f396c8fc287dd16a70f6d)
/CaptchaImage.aspx (641541697a72c3ac2696906dac79d29b)
/CaptchaImage.aspx (661311f8e1dd58df4833268b743a8a4d)
/CaptchaImage.aspx (777bec29c13727536547f53dcc5d1c1a)
/CaptchaImage.aspx (90f692f4dfbb500ec76d65e8e616b3cf)
/CaptchaImage.aspx (c445d42993c86a46cd8f6fcf1df6c262)
/CaptchaImage.aspx (d90ec8d40dcdf014f4843ab831b0c52d)
/CaptchaImage.aspx (d9b43526c136c031be64a81e19d5a81e)
/rss.xml
The impact of this vulnerability
Problems navigating the site.
How to fix this vulnerability
Remove the links to this file or make it accessible.
همه هم در قسمت low و informational هستند
Mohammad_dn
جمعه 20 دی 1392, 10:38 صبح
لطفا راهنمایی کنید
demolition
جمعه 20 دی 1392, 10:46 صبح
لطفا راهنمایی کنید
این خطاها زیاد مهم نیست. ولی برای چک کردن امنیت سایت زیاد روی نرم افزار حساب نکنید باید به صورت دستی ورودیها چک بشه
ahmad156
جمعه 20 دی 1392, 10:59 صبح
broken links
مربوط به link هایی میشن که وجود ندارن اصطلاحاً inacceessible هستند.
session token in url
شما چک کنین که اگر cookie در کلاینت غیرفعال هست به کاربر اجازه ورود نده.پیغام بالا میگه در صورت غیرفعال بودن cookie در client اون در url جابجا میشه(Session ID).همون بحث Cookieless (http://msdn.microsoft.com/en-us/library/system.web.configuration.sessionstatesection.cooki eless.aspx)
sensitive could be cached
امکان داره اطلاعات حساس شما در cache ذخیره بشه.از Cache Control: No-store استفاده کنین
اولی رو نمیدونم:لبخند:
البته خطاهای در سطح low خیلی مهم نیستند.بعضی هاشون توی بحث seo مهم میشن مثل لینک هایی که وجود ندارن
Mohammad_dn
جمعه 20 دی 1392, 11:27 صبح
خوب من چطور میتونم از Cache Control: No-store استفاده کنم؟
این خطاها زیاد مهم نیست. ولی برای چک کردن امنیت سایت زیاد روی نرم افزار حساب نکنید باید به صورت دستی ورودیها چک بشه
خوب کسی میتونه در زمینه ی امنیت بهم کمک کنه؟؟؟؟
ahmad156
جمعه 20 دی 1392, 11:36 صبح
وب من چطور میتونم از Cache Control: No-store استفاده کنم؟
اینجا (http://www.metatags.org/meta_http_equiv_cache_control)
بیشتر تجربی هست.شما عنوان حملات رو دنبال کنین کافی هست مثلا XSS.شما ببینین چه جوری عمل میکنه و راه کارهای مقابله با اون یاد بگیرین!!
aryadid
یک شنبه 21 اردیبهشت 1393, 09:20 صبح
سلام به همه
آقا من با wordpress یه سایت دارم راه میندازم والا کارم با asp.net ولی مجبور بودم با wordpress کار کنم اگه کسی بلد میشه چک کنید ببینید امنیت سایتم چقدره؟
دوربین مدار بسته (http://www.aryadidcctv.com)
www.aryadidcctv.com (http://www.aryadidcctv.com)
s3rv3r
یک شنبه 21 اردیبهشت 1393, 16:29 عصر
در رابطه با wordpress باید بگم از بهترین سی ام اس های اینترنت هست و کمتر باگ خطرناکی میده. به راحتی هک نمیشه
روش های هک وردپرس هم عبارت است از.
باگ در تم ساخته شده توسط شما: که باید شخصا چک کنید.
%D.7.:8�گ xss که بازم باید خودتونو پیدا کنن تا هکتون کنن. معمولا بوده و هست و خواهد بود. پس باید مواظب خودتون باشید که لینکی چیزی که براتون فرستادن باز نکنید.
هک شدن از طریق سرور ( سایت های مجاور) اینو دیگه باید از امنیتی سرورت مطمئن باشی.
درباره
سایت دوست عزیز دیگمون بگم که مسیر سایتتون از روی همون اطلاعات ساده روی سرور مشخص شده. و اگه هکری به سایت همسایه نفوذ کنه.
اگه اگه سرور بازم کمی امنیت داشته باشه و مسیرهارو به هکر نشون نده. با چشم بسته میتونه مستقیم آدرس سایتتون رو هارد رو بزنه و بیاد رو سایتتون.
جای نگرانی کمه ولی خب گفتم که بدونید. گاهی وقتا اطلاعات خیلی بی ارزش هم جایی به کمک هکرها میاد
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.