رفتن به مطلب



iran rules jazbe modir
ADS mahak

پست های پیشنهاد شده

باگ چیست ؟

در سال 1945 ماشین حسابی به مشکل بر خورد و از کار افتاد که خانمی با نام گریس هاپر به جستجو و رفع این مشکل پرداخت و شروع به جستجو کرد و جالب است که بدانید مشکل از وجود یک حشره در میان قطعات دستگاه بود و زمانی که ان حشره را از میان قطعات بیرون کشیدند دستگاه مجدد شروع به کار کرد

اما امروزه باگ ها به دلیل وجود حشرات نیستند بلکه باگ ها از اشتباهات برنامه نویسان به وجود می اید که باعث به وجود امدن مشکلاتی ازجمله مشکلات امنیتی می شود و هکر ها از این مشکلات امنیتی می توانند استفاده کنند و به هدف دلخواه خود دست پیدا نمایید که در ادامه بیشتر با این موضوع مهم اشنا خواهید شد.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

telegram channel   jazbe modir

وب اپلیکیشن چیست ؟

شما نرم افزاری کاربردی را تصور کنید که بر روی سیستم عامل خود ان را نصب کرده و از ان استفاده می کنید و قطعا این اپلیکیشن دارای باگ هایی است که در هر بروز رسانی تعدادی از این باگ ها رفع یا به اصطلاح پچ می شوند و به کاربر ارائه می کنند

وب اپلیکیشن ها ، اپلیکیشن های تحت وب هستند و به دلیل اینکه طراحی سایت یک عمل زمان بر است و توسط انسان ها کد نویسی می شوند تمام وب سایت های دنیا دارای باگ یا خطا های امنیتی هستند که بعضی از سایت ها کمتر و بعضی بیشتر و یک متخصص امنیت می تواند از این باگ ها برای تست نفوذ های خود استفاده کند.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

باگ SQLI

اشنایی با یکی از مهم ترین انواع باگ SQL Injection

باگ SQLI که مخفف SQL Injection است به معنای تزریق کد های SQL است

که این اسیب پذیری یکی از باگ های خطرناک و بسیار رایج است که باعث می شود نفوذگر به دیتابیس سایت دسترسی پیدا کند و درنهایت به عنوان ادمین سایت لاگین کند و کوئری های خود را در دیتابیس وارد کند که این باگ گستردگی بسیار زیادی دارد و سایت های زیادی همچنان دارای این باگ خطرناک هتسند

منطق این باگ به این صورت است که با استفاده از کوئری مخرب  ,اطلاعات دیتابیس را بیرون می کشند

و میتوانند از انها استفاده کنند که در این باگ می توانید به سه روش اقدام به خواندن اطلاعات دیتابیس کنید

سه متد باگ SQLi

  1. union 
  2. error
  3. blind

بیشتر از روش union البته با توجه به اسیب پذیری استفاده می شود که دراموزش های قبل اموزش هایی مرتبط با روش union قرار داده ایم و می توانید مشاهده نمایید و لازم به ذکر است که روش های باگ sqli گستردگی بسیار زیادی دارد زیرا ممکن است در هر مرحله , فایروال ها ، CDN و … از تزریق کد جلوگیری کنند و باید برای هر مرحله ان به بایپس های مربوطه اگاه و مسلط باشید.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

اشنایی بیشتر با SQL Injection

همانطور که از نام ان پیداست مربوط به پایگاه داده است

و این حمله از طریق تزریق کدهای SQL در پایگاه داده از طریق ورودی رخ می دهد.

وجود این باگ در تمامی پایگاه داده ها مانند MariaDB,Microsoft SQL,Oracle,My SQL و … وجود دارد

و این اسیب پذیری هیچ ربطی به ضعف این پایگاه داده ها ندارد بلکه این باگ همان طور که گفته شد توسط اشتباهات برنامه نویس در زبان های PHP , ASP و دیگر زبان های تحت وب و سمت سرور است و گاهی این مشکل با کانفیگ غیر استاندارد سروربیشتر وب سایت را دچار اسیب پذیری میکند و به کاربر اجازه مقدار دهی و اجرا دستورات پایگاه داده را از طریق ورودی می دهد.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر
در 4 دقیقه قبل، Doctor Robot گفته است :

اشنایی بیشتر با SQL Injection

همانطور که از نام ان پیداست مربوط به پایگاه داده است

و این حمله از طریق تزریق کدهای SQL در پایگاه داده از طریق ورودی رخ می دهد.

وجود این باگ در تمامی پایگاه داده ها مانند MariaDB,Microsoft SQL,Oracle,My SQL و … وجود دارد

و این اسیب پذیری هیچ ربطی به ضعف این پایگاه داده ها ندارد بلکه این باگ همان طور که گفته شد توسط اشتباهات برنامه نویس در زبان های PHP , ASP و دیگر زبان های تحت وب و سمت سرور است و گاهی این مشکل با کانفیگ غیر استاندارد سروربیشتر وب سایت را دچار اسیب پذیری میکند و به کاربر اجازه مقدار دهی و اجرا دستورات پایگاه داده را از طریق ورودی می دهد.

اهداف باگ:
اهداف این باگ متفاوت است. وقتی که شما بتوانید دستورات پایگاه داده را از طریق URL اجرا کنید تقریبا
هر کاری میتوانید انجام دهید .سرقت یوزرو پسورد ادمین و کاربران ، سرقت و تغییر تمامی محتوا سایت، دیفیس کردن سایت و …

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

باگ XSS

باگ XSS یا Cross Site Scripting یک باگ سطح کلاینت است

که اکثر افراد این باگ را سطح وب می دانند که کاملا اشتباه است و در ادامه با منطق این باگ اشنا می شوید، این باگ اکثرا در اپلیکیشن های تحت وب هایی به وجود می اید که گستردگی بیشتری دارند به این معنا که میتوانید این باگ را نسبت به انواع باگ های دیگر بیشتر پیدا کنید به این خاطر که از ورودی های زیادی در سایت خود استفاده می کنند و کارکتر های وارد شده توسط کاربر را کنترل نمی کنند

تصور کنید وارد سایتی می شوید که دارای  فیلد جستجو است و زمانی که عبارتی را در ان جستجو می کنید

و ان  عبارت در سایت چاپ  می شود و هیچ محدودیتی بر روی کارکتر های دیگر اعمال نشده باشد احتمال وجود باگ در سایت وجود دارد اما دقت کنید که فقط یک  احتمال است و این چاپ شدن ممکن است در هرجایی از سایت امکان پذیر باشد  , ممکن است در قسمت اصلی سایت یا حتی در URL یا حتی در Header سایت باشد

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

آشنایی بیشتر انواع باگ XSS

به تصویر زیر توجه کنید

349118065_c.thumb.JPG.e82610cf0f882132232c6eb06239cbd6.JPG

مشاهده می کنید که عبارت وارد شده در فیلد جستجو در قسمت URL و سورس سایت چاپ شده

و این به این معنی است که عبارت وارد شده توسط نفوذگر داخل سورس سایت قرار گرفته است  و عبارت وارد شده توسط نفوذگر که در سورس چاپ شده است خوانده شده و اجرا می گردد ولی تصور کنید که به جای استفاده از کلمات ساده و معمولی از کدهای جاوا اسکریپت و html استفاده کنید و یک کد برای برداشتن کوکی ها را داخل فیلد جستجو وارد کنید و بر روی دکمه جستجو کلیک کنید و به محض لود شدن سایت کد در سورس سایت قرار گرفته و اجرا می شود و باعث گرفتن دسترسی از کاربران دیگی یا در مواردی حتی ادمین هم می شود

نکته :

دقت کنید که جاوا با جاوا اسکریپت تفاوت دارد و از جاوا برای برنامه نویسی تحت سیستم عامل استفاده می شود اما جاوا اسکریپت که از اسم او مشخص است یک زبان اسکریپتی است و از ان در طراحی سایت استفاده می کنند.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

باگ LFI

باگ LFI که مخفف local file inclusion است زمانی به وجود می اید که برنامه نویس سایت از تابع هایی مانند include که برای فراخوانی صفحات وب است استفاده کرده باشد و کاراکتر های غیرمجاز ازجمله ( . ) و ( / )   ف/ی/ل/ت/ر نکرده باشد

در این صورت نفوذگر می تواند فایل مهمی همچون فایل :

برای مشاهده این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

که شامل یوزرنیم و پسورد های سایت می باشد را  فراخوانی کند.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

باگ RFI

اشنایی با باگ lfi یکی از اصلی ترین اسیب پذیری ها در انواع باگ ها

این اسیب پذیری یکی دیگر از انواع باگ ها است که مخفف remot file inclusion می باشد

این باگ تقریبا مشابه LFI است با این تفاوت که باگ LFI به صورت محلی و لوکال است

و می توان فایل های مهم را فراخوانی کرد اما باگ RFI به صورت ریموت می باشد

تصور کنید یک صفحه دیفیس یا یک شل اسکریپت را بر روی یک هاست اپلود کرده اید و حال قصد دارید تا ان صفحه مورد نظر که در هاست اپلود کرده اید را بر روی سایتی که باگ RFI دارد اپلود و استفاده کنید و دقت کنید که فایل شما باید حتما پسوند TXT باشد اما نگران نباشید زمانی که فایل را بر روی سایت مورد نظر که باگ RFI دارد اپلود کردید کامپایلرهای HTML و PHP به صورت خودکار صفحه شما را کامپایل کرده و کد را اجرا کرده و نتیجه را به شما نمایش میدهند

برای استفاده از این باگ باید ادرس دقیق اینترنتی صفحه مورد نظر خود را در محل درستی در URL  قرار دهید و سپس Enter کنید اما امکان دارد تا مکانیزم های امنیتی جلوی اپلود شل شما را بگیرند که می توانید به راحتی صفحه دیفیس خود را اپلود کنید پیشنهاد میکنید

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

باگ RFU یکی دیگر از انواع باگ های مهم

باگ RFU  که مخفف remot file upload می باشد به نفوذگر این اجازه را می دهد تا بتواند فایل های خود را از جمله شل اسکریپت و صفحات دیفیس خود با استفاده از اپلودر اسیب پذیر اپلود کند که البته ممکن است به محدودیت هایی برخورد کند اما می تواند از روش های مختلف برای بایپس ستفاده کند و مکانیزم های امنیتی مانند فایروال را دور بزند

این باگ که به اختصار RFU & RFD   نام دارد به کاربر اجازه آپلود و دانلود فایل را می دهد.
باگ معروف DNN (سیستم مدیرت محتوا مایکروسافت)، از نوع RFU بود.

اهداف باگ:
آپلود فایل مخرب و دیفیس سایت، دانلود فایل هایی که هکر اجازه دسترسی ندارد.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   بازگردانی قالب بندی

  حداکثر استفاده از ۷۵ شکلک مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به عنوان یک لینک به جای

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

در حال بارگذاری

  • مطالب مشابه

    • توسط  Doctor Robot
      یک سایت چطور هک می شود؟
      اول از همه باید بدانید که هکر فردی مثل من و شماست. البته دارای دانش هک کردن سایت می باشد که در بیشتر موارد این کار را با ابزارها و نرم افزارهایی که از قبل نوشته شده است انجام می دهد. پس با این حال حتی شما هم می توانید یک هکر باشید. مثلاً فرض کنید روالی را برای بارگذاری کردن یک فایل روی هاست یاد می گیرید و پس از آنکه آن فایل را اجرا کردید، دسترسیِ شما محرز می گردد.
      یک هکر معمولاً از رخنه ها و منافذی که ما به عنوان مدیران سایت ها ایجاد می کنیم برای نفوذ به سایت استفاده می کند. قرار نیست یک هکر جادوگری کند و با خواندن یک وِرد وارد سایت های ما شود! ما باید نسبت به امنیت سایت خود آگاه باشیم و سعی کنیم با بستن منافذ ورود، جلوی دسترسیِ این افراد به سایت را بگیریم.
      به طور کلی امن کردن سایت را ما در دو سطح کلی می توانیم انجام دهیم:
      در سطح سرور سایت در سطح تنظیمات سایت و فضای میزبانی
    • توسط  kamangir
      فیلم آموزشی دیفیس کردن سایت
      اولین فیلم آموزشیم هست امید وارم خوشتون بیاد

      برای مشاهده این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
    • توسط  kamangir
      دوستان به هیچ عنوان به هیچ کس مدیریت سایت رو ندید و اگه میدید تهد بگیرید.
       
      من به ابراهیم واکر مدیریت دادم اونم از این اعتماد من سوع استفاده کرد و به بهونه ی عوض کردن قالب سایت منو دیفیس کرده.
      جالب این جاست که من روی رزبلاگ آوردم خجالتم نمیکشه تو اینستاش میزنه دو بار توسط تیم ما هک شده؟
      خخخخخ
      خجالت بکش میترسی ما فالوت کنیم اینستات بره بالا خوب بگو آنفالو میکنم چرا بلاک میکنی و جواب نمیدی؟
       
      دوستان با سند و مدرک میگم این آقا کلاهبردار هست
       
      لطفا به این آقا اعتماد نکنید.
    • توسط  Moeein Seven
      معرفی سایت های دارک وب DarkWeb
       
      در این تاپیک سایت های دارک وب معرفی و ادرس آن ها با دامنه .onion برای شما عزیزان قرار داده میشود
      مسعولیت هرگونه استفاده نادرست از این وبسایت ها بر عهده کاربران است 
      موفق باشید
    • توسط  arman
      سلام من میخوام یک اسکریپت بروت فرس سایت بنویسم با زبان پایتون ولی نمیدونم باید چیکار کنم میشه کمی راهنمایی کنید
  • کاربران آنلاین در این صفحه   0 کاربر

    هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.

×
×
  • جدید...