با سلام

این حقیر چند سال از عمرشو صرف امنیت کرده و حالا خسته شده و میخواد در خدمت جامعه برنامه نویسان عزیز ایرانی باشه
دوستان عزیز بنده قصد دارم با اجازه بزرگان سایت های شما عزیزان رو از لحاظ امنیتی تست کنم. هرچند شما به اندازه ای خوب کار میکنید که باگی به وجود نیاد
ولی در کل عزیزانی که میخوان سایتشون از نظر امنیتی چک بشه درخواستشون رو در این تاپیک مطرح کنن.


توجه : حتما قبل از درخواست یه فایل متنی در شاخه اصلی سایتتون به اسمت pentest.txt با این متن " s3rv3r check this site Security " قرار بدید تا اطمینان پیدا بشه که سایت مطلق به شماست


1. آقای masoud60 تست سایت شما در حال انجام هست. نتیجه گزارش شد
2. آقای مرتضي تقدمي تست سایت شما در دست اقدام است.

سلام
این یک موضوع خوبی هست و میتونه در جهت ارتقاع سایتهای ایرانی کمک کنه.
لطفا این سایت http://www.iranpezeshkan.com رو چک کنید.


-------------------------
http://www.kohan-co.net

با سلام و خسته نباشید خدمت شما دوست عزیز
اول تشکر فراوان از شما و دوم این که در صورت امکان پرتال http://hub.arax-group.ir را چک نمونه و از طریق پیام خصوصی اطلاع دهید

با تشکر

سلام
خیلی ممنون از تستی که بر روی سایت انجام دادید و وقتی که اختصاص دادید. حتما روی نکات ضعف بیشتر کار میکنم.
فقط در مورد حملات xss بیشتر توضیح بدید.چون خروجی جستجوی سایت pdf نیست.چطور میشه جلوی این نوع حملات رو گرفت

-------------------------
http://www.kohan-co.net

با سلام مجدد.
حملات xss برا پایه تزریق کد تو تگ های اچ تی ام ال رخ میده و تو هر تگی که فکرشو بکنید میتونن انجام بدم

روش هم به این صورته که میگردن جایی رو پیدا میکنن که ورودی میگیرید چاپش میکنید همینجوری. از نظر عقلانی هم براتون خب قابل درکه که این که کاری نمیکنه دیتابیس نمیره همینجوری چاپ کنیم بره

مثالش کجا؟ جست و جو . برای نمایش نتایجه بالاش همینجوری echo میشه جست و جو به دنبال فلان کلمه.
این کد رو اجرا کنید.
فکر کنید رشته strch رو از ورودی به طریقی رد شده و الان لابلای کدای شما در حال اجراست. نتیجش میشه اجرای کدی هکر با دستکاری و تلاش به چیزی که میخواد میرسه. البته به همین سادگی ها هم نیست.


string srch = "<script>alert(1)</script>";
Response.Write(srch);


مثال دیگه


<input type="text" text="usrname">

کد تزریقی هکر


"><script> alert(1)</script><input type="text" text"="a



آقای Mohammad_dn (http://barnamenevis.org/member.php?292342-Mohammad_dn)
من نگاهی به پنل انداختم. پنل شما زیاد گسترده نیست که بشه تست های وسیع روش انجام داد.و از نظر ورودی ها هم کمه. اینجوری اسکریپت داخلی رو به صورت white Box راحت تر میتونید خودتون مشکلاتتون رو متوجه بشید.
از نظر SQLI فکر نکنم مشکلی باشه.
جای اپلود هم مشاهده نکردم که سعی کنم فایلی رو با تغییر مشخصات یا باگ IIS بیام آپلودش کنم.
چون خالی هم بود سایت و پنلتون. ورودی ها سخت پیشدا میشدند.
و ورودی های دیگه نبود.

سلام

لطفا سایت من رو هم بررسی کنید.
hamaseha.ir (http://www.hamaseha.ir/)

ممنون