View Full Version : Sql Injection
sg.programmer
چهارشنبه 22 اردیبهشت 1395, 21:41 عصر
سلام
آیا بعد از ورود به سایت امکان Sql injection مگر ممکن هست؟
یعنی اگر در فرم ورود sql injection رعایت گردد و در بقیه فرمها رعایت نگردد امکان Sql injection ممکن است روی دهد؟
چون هیج کاربری امکان ورود به صفحات دیگر را نخواهد داشت تا بتواند دستورات را وارد کند
Mohammad_dn
چهارشنبه 22 اردیبهشت 1395, 23:49 عصر
سلام
آیا بعد از ورود به سایت امکان Sql injection مگر ممکن هست؟
یعنی اگر در فرم ورود sql injection رعایت گردد و در بقیه فرمها رعایت نگردد امکان Sql injection ممکن است روی دهد؟
چون هیج کاربری امکان ورود به صفحات دیگر را نخواهد داشت تا بتواند دستورات را وارد کند
فکر میکنم بشه چون تا جایی که من میدونم حملات sql injection فقط از طریق نرم افزارایی مثل havij انجام نمیشه و میشه به صورت دستی و یا روش های دیگه ای اینکارو کرد بنابراین باید در همه جا امنیت رو در نظر گرفت که خوب اگه اطلاعات رو به صورت پارامتر پاس بدی به کوئری خیلی از مشکلات حل میشه
bomb23
پنج شنبه 23 اردیبهشت 1395, 07:08 صبح
سلام
در رابطه با اینکه هیچ کاربر دیگه ای امکان ورود به صفحات شما رو نداره درسته ولی آیا دسترسی به اون متد رو هم نداره؟
ضمنا برای همون کاربر های عضو سیستم هم باید این اتفاقبیفته چرا که مثلا توی فروم ها و... ممکنه دسترسی براشون فراهم بشه و...
sg.programmer
پنج شنبه 23 اردیبهشت 1395, 10:04 صبح
سلام
هیچ فقط کاربران با یک قسمت از سایت که sql injection دارند در ارتباز باشند باز امکان حمله از سوی افراد عادی عم برقرار هست؟ قسمت مدیریت با خود سایت جدا از هم می باشد
nunegandom
پنج شنبه 23 اردیبهشت 1395, 13:43 عصر
سلام یه نگاه به این آدرس ها بنداز
CAT.NET آنالیز کد C# (https://www.microsoft.com/en-us/download/details.aspx?id=19968)
ModSecurity (Firewall taQriban) (https://www.modsecurity.org/)
sg.programmer
پنج شنبه 23 اردیبهشت 1395, 17:30 عصر
سلام یه نگاه به این آدرس ها بنداز
CAT.NET آنالیز کد C# (https://www.microsoft.com/en-us/download/details.aspx?id=19968)
ModSecurity (Firewall taQriban) (https://www.modsecurity.org/)
تشکر - میشه در مورد این دو نرم افزار یک توضیح بدید - بنظر خیلی بدرد میخوره.
آیا راهنمای فارسی ای هم در مورد اینها هم هست.
CAT.NET در قسمت نصبش نوشته vs 2005 , vs 2008 نصب خواهد شد؟
modsecurity هم برای آپاچی هست
nunegandom
پنج شنبه 23 اردیبهشت 1395, 20:32 عصر
سلام مجدد
modsecurity سمت راست بالا رو ببینید، برای IIS هم موجوده و یه جور فایروال وب هست، تو انجمن های ایرانی آموزشهاش هست البته آپاچی شو دیدم من...
چیزای امنیتی رو تویه انجمن های امنیتی بهتر میتونید پیدا کنید مثل ashyane.org و guardiran.org
CAT فقط برای آنالیز هستش همین
کتاب های فارسی درمورد دفاع دربرابر SQLi تو انتشارات پندارپارس هست
(http://www.pendarepars.com/book/sql,injection,%D9%83%D8%AA%D8%A7%D8%A8,%D8%A2%D9%8 5%D9%88%D8%B2%D8%B4%D9%8A,%D8%AA%D8%B2%D8%B1%D9%8A %D9%82,attack,defense/?c=75#.VzSuvmzQC1t)برای جلوگیری از XSS هم خود ماکروسافت یه DLL داده بیرون میتونید ازش استفاده کنید به اسم AntiXSS (https://www.microsoft.com/en-us/download/details.aspx?id=28589)
ولی ماشالله این امنیت بحثش زیاده CSRF هک هست و...
قسمت بلاگ acunnetix رو هم مطالعه کنید ، و البته کلی هم مرجع داره که باید اونا هم مطالعه بشه!
در آخر هم یه تست با acunnetix بگیرید
آها راستی برید روی MVC کلی تست و اتوماتیک و چیزا مختلف داره! (البته من خودمم هنوز کامل نخوندمش) ولی خیلی کارو ساده میکنه
بجز نرم افزار هویج نرم افزار آلبالو هم هست (هر جفتش ماله itsec ایران!) اصل مطلب هم که acunnetix هستش یا حق
maxpayn2
یک شنبه 26 اردیبهشت 1395, 14:34 عصر
سلام . برای SQL Injection هیچ نیازی به لاگین کردن نیست . SQL Injection برای استفاده یا سوء استفاده از باگ امنیتی موجود در کدنویسیه سایته بدون داتن حتی یک اکانت کاربری ساده روی سایت . البته بعضی وقتا داشتن اکانت کمک میکنه ولی در اکثر مواقع لازم نیست
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.