آیا طراح cms میتونه به رمز ورود به cms دسترسی پیدا کنه ؟ [بایگانی]

-farzin-

سه شنبه 12 خرداد 1394, 11:34 صبح

با سلام ، توسط یک طراح ، cms و قالب اختصاصی برای سایتم طراحی و راه اندازی شده !هنگام نصب cms نیاز به کد فعال سازی داشت که باید ip وب سرویس رو به طراح ارائه میدادم تا اون کد فعال سازی cms رو ارائه بده ! که نمیدونم این کار چه لزومی داشت و آیا مشکل امنیتی در آینده ایجاد میکنه ؟برنامه نویسی cms هم دارای مشکلاتی هست که طراح دسترسی به هاست رو درخواست کرد و من هم باید دسترسی میدادم ! سئوال اینجاست که طراح با دسترسی به هاست ، میتونه نام و رمز عبور به cms رو متوجه بشه ؟با تشکر ؟

پیام حیاتی

سه شنبه 12 خرداد 1394, 12:14 عصر

سلام
اگر پوشه installation مربوط به cms حدف نشده باشه بله میتونه ، گدشته از این میتونه یک یوزر با دسترسی ادمین در بانک cms مربوطه ایجاد کنه و خیلی کارهای دیگه.
شما اگر با شرکت خاصی کار می کنید حتمن قراردادی هست که موارد موردنظر رو میتونید داخلش لحاظ کنید.
کار با شخص ازاد که رسمیت حقوقی نداره رو بنده کلا رد می کنم.

-farzin-

سه شنبه 12 خرداد 1394, 17:21 عصر

طراح برای دستیابی به پنل مدیریت CMS ، حتما باید دسترسی به هاست داشته باشه ؟ ؟ و یا اینکه از ابتدا میتونه طوری برنامه نویسی کنه که تحت هر شرایطی ، بتونه به پنل مدیریت دسترسی داشته باشه ؟

پیام حیاتی

سه شنبه 12 خرداد 1394, 21:11 عصر

هر CMS یک بخش مدیریتی کامل داره که تقریبا" تمامیه کارهای مورد نیاز را می توان بدون نیاز به دسترسی مستقیم هاست انجام داد.
در برنامه نویسی هیچ کاری نشد نداره!

m.esmaeilzadeh

چهارشنبه 13 خرداد 1394, 13:38 عصر

البته بستگی داره , اگر برنامه نویس Backdoor در نرم افزار گذاشته باشه میتونه هزاران کار انجام بده !!!
حذف فایل ها , دستکاری دیتابیس و خیلی چیزای دیگه ....

m_r_1989

چهارشنبه 13 خرداد 1394, 15:43 عصر

هیچ برنامه نویسی کاری که خودش انجام داده هیچوقت خراب نمی کنه چون یک نمونه کار برای خودش هست ولی در صورتی که شما با ایشون به مشکل بخورید (مثلا هزینه رو کامل پرداخت نکنید یا غیره ) مطمئنا می تونه رو سایت شما کنترل داشته باشد

-farzin-

شنبه 23 خرداد 1394, 13:02 عصر

البته بستگی داره , اگر برنامه نویس Backdoor در نرم افزار گذاشته باشه میتونه هزاران کار انجام بده !!!
حذف فایل ها , دستکاری دیتابیس و خیلی چیزای دیگه ....

Backdoor رو چه جوری باید متوجه شیم ؟

pooya75

شنبه 23 خرداد 1394, 13:58 عصر

Backdoor رو چه جوری باید متوجه شیم ؟

باید یه برسی کلی روی کد ها بکنید
از هر روشی میتونه واسه خودش
Backdoor درست کنه طرف
ساده ترین راه هم برای اون فرد اینه که توی چک کردن رمز عبور یه کوچولو شیطنت کنه :))
مثلا یه پسورد دیگه(علاوه بر پسوردی که خود یوزر گذاشته) برای تمام یوزر ها قرار بده ؛پس با زدن اون پسورد هم به همه یوزر ها میتونه وارد بشه :)

pooya75

شنبه 23 خرداد 1394, 13:59 عصر

به قول دوستان واسه خودش شاه کلید درست میکنه خخخخخ

sg.programmer

شنبه 23 خرداد 1394, 14:54 عصر

هیچ برنامه نویسی کاری که خودش انجام داده هیچوقت خراب نمی کنه چون یک نمونه کار برای خودش هست ولی در صورتی که شما با ایشون به مشکل بخورید (مثلا هزینه رو کامل پرداخت نکنید یا غیره ) مطمئنا می تونه رو سایت شما کنترل داشته باشد
هیچ برنامه نویسی کار خودش را خراب نمیکنه. بجز موارد بالا
دوستمون درست میگه.

r4hgozar

یک شنبه 24 خرداد 1394, 15:10 عصر

سلام.
اقا من خودم برنامه نویس هستم و اصلا کارم طراحی دیزاین نیست.و این مطلب رو می نویسم برای حمایت از خلیلی از دوستانم که با وجدان کامل کارهاشون رو انجام میدن.
حد اقل درمورد خودم و بقیه دوستانم می تونم بگم که هیچ وقت این کار رو نمی کنیم.
من پسورد هام به روش بیسار پیچیده ای Hash میشه و خودمون هم نمی تونیم بفهمیم چیه.
تنها روشی که واس خودمون می زاریم دسترسیمون به هاستمونه. چون معمولا مشتری ها هاست رو هم از خودمون می خرن.

این چیزی که اقا پویا می گن زیاد واقع گرایانه نیست. ما معمولا یه یوزر admin واسه خودمون درست می کنم اما خیلی از مشتری ها اون رو پاک می کنم و دسترسی ما رو به صفحه مدیریت می بندند.

اما اگه شما از CMS های آماده مثل وردپرس و یا جوملا استفاده می کنید اینها یک سری باگ های مشخص دارن که قضیش فرق داره.

اگه ما باگی برای ورود خودمون به قول دوستان تو نرم افزار بزاریم یه هکر ساده با نرمافزار های تحلیل کد می تونه اون رو پیدا کنه و ازش استفاده کنه.
پس این اصلا منتقی نیست که ما این کار رو انجام بدیم.
موفق باشید

pooya75

یک شنبه 24 خرداد 1394, 22:50 عصر

سلام.
اقا من خودم برنامه نویس هستم و اصلا کارم طراحی دیزاین نیست.و این مطلب رو می نویسم برای حمایت از خلیلی از دوستانم که با وجدان کامل کارهاشون رو انجام میدن.
حد اقل درمورد خودم و بقیه دوستانم می تونم بگم که هیچ وقت این کار رو نمی کنیم.
من پسورد هام به روش بیسار پیچیده ای Hash میشه و خودمون هم نمی تونیم بفهمیم چیه.
تنها روشی که واس خودمون می زاریم دسترسیمون به هاستمونه. چون معمولا مشتری ها هاست رو هم از خودمون می خرن.

این چیزی که اقا پویا می گن زیاد واقع گرایانه نیست. ما معمولا یه یوزر admin واسه خودمون درست می کنم اما خیلی از مشتری ها اون رو پاک می کنم و دسترسی ما رو به صفحه مدیریت می بندند.

اما اگه شما از CMS های آماده مثل وردپرس و یا جوملا استفاده می کنید اینها یک سری باگ های مشخص دارن که قضیش فرق داره.

اگه ما باگی برای ورود خودمون به قول دوستان تو نرم افزار بزاریم یه هکر ساده با نرمافزار های تحلیل کد می تونه اون رو پیدا کنه و ازش استفاده کنه.
پس این اصلا منتقی نیست که ما این کار رو انجام بدیم.
موفق باشید

روشی که بنده گفتم به hash هم مربوط نمیشه
اگه شما وارد باشن میدونین که با یه کد or ساده در sql میشه پسورد رو دور زد