ورود

View Full Version : چک لیست امنیتی پروژه های نرم افزاری تحت وب


ali_72
دوشنبه 19 مرداد 1394, 14:10 عصر
سلام
در چک لیست امنیتی آقای مراداف در سایت dotnettips یک سری موارد بود که ممنون میشم با هم بررسی کنیم



آپلود فایل‌ها در پوشه App_Data و دسترسی به فایل‌ها از طریق سرویس‌های خود شما. پوشه App_Data پوشه‌ای امن است و دسترسی مستقیم از طریق آدرس بار مرورگر به فایل‌های درون آن توسط IIS داده نمی‌شود و افراد فقط از طریق سرویس‌های خود شما می‌توانند به فایل‌های داخل این پوشه دسترسی داشته باشند. بدین صورت در سرویس‌های خود می‌توانید با تبدیل نمودن [12] فایل‌ها به نوع خودشان (تصویر. پی دی اف یا ...) هکر را نا امید نمایید. این موضوع شما را در مقابل حملات SHELL مقاوم می‌نماید.

من برای آپلود تصاویر سایت و فایل های سایت ییه پوشه تو مسیر پوشه content پروژه می ساختم و کاربر در پنل مدیریت در این پوشه آپلود فایل و تصویر را انجام میداد. پس با این توضیح کار من اشتباهه؟

اشتراک گذاری اینترفیس در سرویس‌های خارج برنامه ای و عدم اشتراک گذاری کلاس اصلی. این موضوع از دستیابی هکر به بدنه سرویس‌ها و پیاده سازی‌های آنها جلوگیری می‌نماید.

دقیقا باید چی کار کنم؟

حتما در فرم‌های عمومی سایتتان از تصویر کپچا (http://www.dotnettips.info/search?term=captcha) با امنیت بالا استفاده نمایید. این موضوع جهت شناخت روبات‌ها از انسان‌ها می‌باشد و شما را در برابر حملات Brute Force مقاوم می‌نماید.

مشخصات captcha با امنیت بالا چیه؟


ممنون
jaykob
دوشنبه 19 مرداد 1394, 17:59 عصر
سلام
در چک لیست امنیتی آقای مراداف در سایت dotnettips یک سری موارد بود که ممنون میشم با هم بررسی کنیم



آپلود فایل‌ها در پوشه App_Data و دسترسی به فایل‌ها از طریق سرویس‌های خود شما. پوشه App_Data پوشه‌ای امن است و دسترسی مستقیم از طریق آدرس بار مرورگر به فایل‌های درون آن توسط IIS داده نمی‌شود و افراد فقط از طریق سرویس‌های خود شما می‌توانند به فایل‌های داخل این پوشه دسترسی داشته باشند. بدین صورت در سرویس‌های خود می‌توانید با تبدیل نمودن [12] فایل‌ها به نوع خودشان (تصویر. پی دی اف یا ...) هکر را نا امید نمایید. این موضوع شما را در مقابل حملات SHELL مقاوم می‌نماید.

من برای آپلود تصاویر سایت و فایل های سایت ییه پوشه تو مسیر پوشه content پروژه می ساختم و کاربر در پنل مدیریت در این پوشه آپلود فایل و تصویر را انجام میداد. پس با این توضیح کار من اشتباهه؟

اشتراک گذاری اینترفیس در سرویس‌های خارج برنامه ای و عدم اشتراک گذاری کلاس اصلی. این موضوع از دستیابی هکر به بدنه سرویس‌ها و پیاده سازی‌های آنها جلوگیری می‌نماید.

دقیقا باید چی کار کنم؟

حتما در فرم‌های عمومی سایتتان از تصویر کپچا (http://www.dotnettips.info/search?term=captcha) با امنیت بالا استفاده نمایید. این موضوع جهت شناخت روبات‌ها از انسان‌ها می‌باشد و شما را در برابر حملات Brute Force مقاوم می‌نماید.

مشخصات captcha با امنیت بالا چیه؟


ممنون

سلام

۱ - بله کار اشتباهی هست و بهتر داخل فولدر App_Data باشه .

۲ - در صورتی که شما با بحث Dependency Injection آشنا باید این موضوع رو خواهید فهمید این موضوع به این اشاره می کنه که برای دسترسی به کلاس های اصلی از اینترفیس ها استفاده بشه ( در مورد این موضوع آموزش داخل همون سایت وجود داره )

۳ - معمولا کپچا هایی که نشه اونارو پردازش تصویر کرد و دور زد مناسب هستند ولی از امن ترین ها Google Captcha هست ولی خوب خیلی هم نباید کاربر رو اذیت کرد چون UX سایت رو پایین می آره .

موفق باشید
ali_72
چهارشنبه 21 مرداد 1394, 06:59 صبح
۳ - معمولا کپچا هایی که نشه اونارو پردازش تصویر کرد و دور زد مناسب هستند ولی از امن ترین ها Google Captcha هست ولی خوب خیلی هم نباید کاربر رو اذیت کرد چون UX سایت رو پایین می آره .

موفق باشید

خوب پس بعد از google captcha بهترین گزینه برای captch چیه؟
jaykob
چهارشنبه 21 مرداد 1394, 07:09 صبح
خوب پس بعد از google captcha بهترین گزینه برای captch چیه؟

لیست بهترین و امن ترین هارو می تونید توی دو لینک زیر مشاهده کنید

http://nugetmusthaves.com/Tag/captcha

http://captcha.com/jquery-captcha.html

موفق باشید
hakim22
چهارشنبه 21 مرداد 1394, 10:13 صبح
من البته به شما BotDetect (http://captcha.com/)رو پیشنهاد میکنم.