نمایش نتایج 1 تا 11 از 11

نام تاپیک: Unique Web Site Manager

  1. #1
    کاربر دائمی
    تاریخ عضویت
    خرداد 1382
    محل زندگی
    Tehran-TMU
    پست
    790

    Unique Web Site Manager

    سلام دوستان
    آخرش وقت کردم که برنامه UniWSM رو اینجا ارائه کنم. به توضیحات زیر توجه کنید:

    1- برنامه از یکسری ابزار مدیریت وبگاه تشکیل شده و بیشتر با نگرش خدمات دهی به سازمان‌های علمی تهیه شده .
    2- برنامه به صورت تار فشرده است و نیاز به 7zip یا WinRar داره.
    3- برای کار با این برنامه نیاز به داشتن سروری با قابلیت اجرای PHP و بانک MySQL دارید. همچنین برنامه zend optimizer (رایگان) رو هم لازم داره: http://www.zend.com/store/free_download.php?pid=13
    4- برنامه تنها به صورت لوکال با آی پی 127.0.0.1 و تنها در شاخه awt قابل نصب است.
    5- برای نصب تنها کافی است که یک بانک با نام uniwsm_awt بسازین و با این اطلاعات پرش کنید:
    http://www.jazirehdanesh.com/awt/uni...%5b1%5d.sql.gz
    بعد هم فایل 1config.txt رو یه خورده دستکاری کنید.
    6- برنامه رو ازاینجا بگیرید: http://www.jazirehdanesh.com/awt/awt.tar.gz
    7- با پیشنهاد متقاضی و تایید رئیس (آقای کرامتی) یک سایت کامل (به همراه 20 مگابایت فضا+ Cpanel) برای کاربران سایت برنامه نویس به صورت هدیه در نظر گرفته شده است.
    8- فراموش نکنید بعد از نصب و ورود به منوی مدیریت (با نام admin و رمز test ) حتما یکبار روی تنظیم خودکار موارد اصلی (در منوی مدیریت) کلیک کنید.


    منتظر توضیحات بعدی باشید.

  2. #2
    . آواتار oxygenws
    تاریخ عضویت
    دی 1382
    محل زندگی
    تهران/مشهد
    پست
    6,333
    ایمیل من
    سایت من

    عضویت در جامعه‌ی اهدای عضو

    Direct PGP key: http://tinyurl.com/66q5cy
    PGP key server: keyserver.ubuntu.com
    PGP name to search: omidmottaghi

  3. #3
    حرکتیست شایان تقدیر

    :wink: اما

    فهمیدن اینکه برنامت از چه مکانیزمی استفاده می کنه حتی با در دسترس نبودن سورس کار چندان سختی نیست.
    قبلا هم گفتم تست یک آسیب پذیری الزاما برای نفوذ نیست بلکه میتونه برای فهمیدن مکانیزم مورد استفاده برنامه نویس مثلا برای اعتبار سنجی باشه.
    مطلب Directory Browsing رو برای تاپیک امنیت در نرم افزار های تحت وب نوشتم ، فکر کنم بعد از اون بهتره قبل از شروع تزریق SQL پنهان سازی متد مورد استفاده در برنامه رو با تعدادی نکات دیگه بنویسم

    موفق باشی :موفق:
    Artists use lies to tell the truth while politicians use them to cover the truth up

  4. #4
    کاربر دائمی
    تاریخ عضویت
    خرداد 1382
    محل زندگی
    Tehran-TMU
    پست
    790

    خوب بود

    کارت خیلی عالی بود -

    یک سئوال:
    - متد شما White box بوده یا Black box (یعنی بعد از اینکه سورس کد شده را گذاشتم به شما کمکی کرد یا نه؟)

    و یک خواهش (شرمنده)
    برای اطمینان از اینکه شروع کنم به جستجوی برنامه و تصحیح اون، میشه یه متن کوچولو تو صفحه اول universws.com بگذارین؟

  5. #5
    - متد شما White box بوده یا Black box (یعنی بعد از اینکه سورس کد شده را گذاشتم به شما کمکی کرد یا نه؟)
    والا من از این اصطلاحات سر در نمی آرم :mrgreen:
    من فقط به نحوه کارکرد برنامه و خروجی های اون توجه کردم.البته سورس برنامت کمک چندانی نکرد

    برای اطمینان از اینکه شروع کنم به جستجوی برنامه و تصحیح اون، میشه یه متن کوچولو تو صفحه اول universws.com بگذارین؟
    نمی شه ! پسورد ادمین رو عوض کردی کرک کردنش خیلی طول میکشه
    پسورد قبلیت اینجا هست
    http://passcracking.com/Good_values_list.asp
    سرچ کن براش
    موفق باشی
    Artists use lies to tell the truth while politicians use them to cover the truth up

  6. #6
    کاربر دائمی
    تاریخ عضویت
    خرداد 1382
    محل زندگی
    Tehran-TMU
    پست
    790
    نمی شه ! پسورد ادمین رو عوض کردی کرک کردنش خیلی طول میکشه
    خب من هم منظورم همین بود- میخواستم ببینم راه حل سریع دارید یا از اونهایی است که باید نشست به انتظار (مثل xxl)

  7. #7
    کاربر دائمی
    تاریخ عضویت
    خرداد 1382
    محل زندگی
    Tehran-TMU
    پست
    790
    خیلی از این کار خوشم اومد. فقط برام خیلی مهمه که ببینم اشکال از برنامه بوده یا از کاربر؟ چون از اونجاییکه این برنامه هنوز رو تسته رمز عبورش رو چند نفر دارن. (که بعضیهاشون هم خیلی ابتدایی هستند و برای آشنا شدن و یادگرفتن کار با برنامه رمز رو بهشون دادم)

  8. #8
    کاربر دائمی
    تاریخ عضویت
    خرداد 1382
    محل زندگی
    Tehran-TMU
    پست
    790

    چی شد که اینطور شد!

    خیلی خب- خیالم یه خرده راحت شد.
    آخه وقتی هک شدن برنامه رو دیدم از تعجب شاخ در آوردم. چون تا حد ممکن برنامه رو در برابر تمام انواع حملات ایمن کردم. به خاطر همین با استاد هوتن تماس گرفتم و راهکاری که استفاده کردن رو ازشون خواستم. (واقعا از سوادشون لذت بردم- امیدوارم پیشنهاد مشارکت رو قبول کنن تا بتونم از تخصصشون استفاده کنم)-
    و اما شرح ماجرا
    (توجه کنید که این بخش فقط به منظور افزایش معلومات دوستان علاقمند تهیه شده- پس لطفا سوء استفاده ممنوع!)
    حقیقتش من تا وقتی تو سرور امید خونه داشتم مشکلی از بابت Directory Browsing نداشتم. به همین خاطر هم زیاد بهش توجه نمیکردم. اما وقتی ایشون به خاطر تجمع سایتهای خطرناکی مثل سایت انجمن لجستیک سپاه و نیروی انتظامی مجبور شدن بنده رو از سرورشون بیرون کنن، ما رفتیم و به کوری چشم دوستان یانکی از یه سرور دیگشون استفاده کردیم (البته محض اطمینان فعلا دیگه سایت پلیسی رو سرور نداریم).
    من تا مدتها متوجه نشده بودم که Directory Browsing سرور جدیدم فعال هست و باید دستی غیر فعالش کنم (یا یک Index.htm خالی بذارم تو همه شاخه‌هام). اما حدود سه هفته پیش پی به این موضوع بردم و این‌کار رو انجام دادم.
    بین تمام شاخه‌هایی که امکان browsing داشتن از همه خطرناک تر شاخه DB_BACKS بود که اگه برنامه رو نصب کرده باشید متوجه شدید که محل نگهداری پرونده‌های SQL هست. بعد از خاموش کردن Directory Browsing یه نفس راحت کشیدم و خدا را شکر کردم که تا اون موقع کسی پی به این قضیه نبرده بوده. غافل از اینکه دوست خوبمون آقای هوتن طبق قراری که برای بررسی برنامه داشتیم قبلا این شاخه رو ردیابی کرده بودن و از طریق دانلود فایل دیتابیس پسورد hash شده من رو پیدا کردن و سپردن برای Unhashing !
    :wink:

    بقیه ماجرا رو هم که خودتون می‌تونین حدس بزنین. Unhash شدن پسورد و ورود ایشان به بخش مدیریت.

    پس یادمان باشد:
    فعال کردن Directory Browsing + ایجاد فایل دیتابیس تو شاخه‌ها = هک شدن

    البته از سه هفته پیش این مشکل برطرف شده و خطری متوجه برنامه نیست. البته هنوز یه ایراد تو همین موضوع داره که حرفه‌ای هاش متوجه اون شدن. بذارین درستش کنم تا بهتون اطلاع بدم. (فقط اگه فرد دیگه ای هم پی به موضوع برده بود اعلام کنه ببینیم وضعیت چطوره- هر چند با تعویض رمز عبور دیگه امکان ورود نداره.)

    به هر حال از استاد هوتن برای وقتی که صرف کردن متشکرم.
    :flower:

  9. #9
    اشکال از برنامه بوده یا از کاربر؟
    فی الحال برنامه شما در برابر این گونه حملات و امثالهم آسیب پذیر نیست.با توجه به این که برنامه در مراحل آزمایش قبل از انتشار نهایی قرار داره پیدا شدن این گونه مشکلات مسئله ایست بسیار عادی که دلیل بر مشکل برنامه نیست و مسلما در انتشار نهایی چنین مشکلاتی وجود نخواهد داشت.

    آف تاپیک:
    من اصولا از چیزی الکی تعریف نمی کنم اما همانطور که گفتم
    حرکتیست شایان تقدیر
    این برنامه با توجه به امکانات و مشخصاتش لیاقت نام unique رو داره :موفق:
    Artists use lies to tell the truth while politicians use them to cover the truth up

  10. #10
    مشکلی که در برنامه ات بود رو مقاله ای که امشب در تاپیک امنیت در نرم افزارهای تحت وب اضافه کردم (و تقریبا یه بخشایی از مقاله بعد)توضیح دادم.
    Artists use lies to tell the truth while politicians use them to cover the truth up

  11. #11
    فعال کردن Directory Browsing + ایجاد فایل دیتابیس تو شاخه‌ها = هک شدن
    نه الزاما
    وجود این ها به تنهایی می تونه خطرناک باشه اما همه چیز نیست.در ضمن با کمی خلاقیت میشه از هر دو استفاده کرد (مورد دوم قطعا خطرناکه) و جلوی هک شدن برنامه رو گرفت
    در قسمت بعدی امنیت در برنامه های تحت وب راجع بهش توضیح میدم
    Artists use lies to tell the truth while politicians use them to cover the truth up

تاپیک های مشابه

  1. Null & Unique
    نوشته شده توسط پرواز در بخش SQL Server
    پاسخ: 8
    آخرین پست: سه شنبه 04 دی 1386, 17:44 عصر
  2. تفاوت حجم MDF در unique index
    نوشته شده توسط A.Farzin در بخش SQL Server
    پاسخ: 7
    آخرین پست: چهارشنبه 28 شهریور 1386, 22:34 عصر
  3. کنترل Unique بودن مقدار فیلد در شبکه
    نوشته شده توسط daivid_az در بخش SQL Server
    پاسخ: 8
    آخرین پست: چهارشنبه 07 شهریور 1386, 09:53 صبح
  4. Unique Website Manager
    نوشته شده توسط nematia در بخش PHP
    پاسخ: 1
    آخرین پست: پنج شنبه 17 آذر 1384, 18:33 عصر
  5. توضیحاتی در مورد Create UNIQUE
    نوشته شده توسط m-khorsandi در بخش SQL Server
    پاسخ: 1
    آخرین پست: چهارشنبه 02 شهریور 1384, 19:11 عصر

قوانین ایجاد تاپیک در تالار

  • شما نمی توانید تاپیک جدید ایجاد کنید
  • شما نمی توانید به تاپیک ها پاسخ دهید
  • شما نمی توانید ضمیمه ارسال کنید
  • شما نمی توانید پاسخ هایتان را ویرایش کنید
  •