کاربری
کاربر گرامی به خوش آمدید . اگر این نخستین بازدید شما از سایت است , لطفا ثبت نام کنید:
نمایش نتایج: از شماره 1 تا 25 , از مجموع 25
  1. #1
    دیگه صاحب خونه هستن
    تاریخ عضویت
    ۱۳۹۰-خرداد-۱۹
    جنسيت
    برادر
    نوشته ها
    10,067
    امتیاز : 42,327
    سطح : 100
    Points: 42,327, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsOverdriveVeteranTagger First Class
    تشکر کردن : 54,998
    تشکر شده 22,295 در 4,610 پست
    مخالفت
    72
    مخالفت شده 63 در 55 پست

    Cool .:: امنیت در برنامه نویسی php ::.


    با سلام. با توجه به امنیت برخی از سایت های چهل گانه ، تصمیم بر راه اندازی این مبحث گرفتم.

    سعی میشود با کمک دوستان جدیدترین روش های Patch کردن رو آموزش بدیم.

    تقدیم به دوستانم جنابان H05531N و عرض از مبدا
    ویرایش توسط Arad : یکشنبه ۱۳ مرداد ۹۲ در ساعت ۱۳:۴۷


    ما زنـ-ـ-ـده به آنیـــم که آرام نگیریم
    موجیم که آسودگی ما عدم ماست


    تا یار که را خواهد و میلش به که باشد........

    الهی هیچ مسافری از رفیقهاش جا نمونه .... آمین

  2. 6 کاربر از پست مفید Arad تشکر کرده اند .


  3. #2
    دیگه صاحب خونه هستن
    تاریخ عضویت
    ۱۳۹۰-خرداد-۱۹
    جنسيت
    برادر
    نوشته ها
    10,067
    امتیاز : 42,327
    سطح : 100
    Points: 42,327, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsOverdriveVeteranTagger First Class
    تشکر کردن : 54,998
    تشکر شده 22,295 در 4,610 پست
    مخالفت
    72
    مخالفت شده 63 در 55 پست

    پیش فرض آموزش جلوگیری از باگهای Sql Injection و Xss

    با سلام. در این پست ، به بررسی و جلوگیری از دو باگ(مشکل امنیتی) Sql Injection و Xss که عمده سایت ها با آن ها مواجه هستند پرداخته میشود.

    آسیب پذیری Sql Injection

    باگ sql زمانی رخ می دهد که برنامه نویس داده های ورودی را بدون کنترل مورد پردازش قرار دهد. نفوذگران از همین موضوع استفاده کرده و کنترل سایت یا سرور مورد نظر را در دست میگیرند. پس هرکدی که از ورودی های کاربر برای جستجو در بانک اطلاعاتی بدون بررسی استفاده شود احتمال یک حمله موسوم به SQLI را دارد.
    حال خواه این ورودی از طریق URL باشد( متد GET). خواه از طریق ارسال پست(متد POST).

    یک نمونه کوئری که بدون بررسی ، از متغیرها استفاده میکند و دارای باگ SQLi است:
    کد PHP:
    <?php
    $postid 
    $_GET   91;'id'   93;;
    $result mysqli_query($con,"SELECT * FROM `post` WHERE `id`=$postid");
    ?>
    متغیر postid از ورودی id که در url میباشد مقداردهی میشود. به عنوان مثال :
    www.site.com/index.php?id=5

    همانطور که مشاهده می کنید این کد همان ورودی که از URL را دریافت میکند به طور مستقیم مورد پردازش قرار می دهد و این یعنی نفوذگر می تواند به طور مستقیم دستورات خود را وارد نماید تا توسط سرور مورد پردازش قرار گیرد و این خیلی خطرناک است!

    نحوه Patch(جلوگیری) از Sql Injection :
    1- اگر مقدار متغیر مورد نظر عددی است میتوان از intval استفاده کرد:
    کد PHP:
    <?php
    $postid 
    intval($_GET   91;'id'   93;);
    $result mysqli_query($con,"SELECT * FROM `post` WHERE `id`=$postid");
    ?>
    2- استفاده از mysql_real_escape_string : این تابع تمامی ورودی های مضر را خنثی می کند.
    کد PHP:
    <?php
    $postid 
    mysql_real_escape_string($_GET   91;'id'   93;);
    $result mysqli_query($con,"SELECT * FROM `post` WHERE `id`=$postid");
    ?>
    + از این روش ، در مواقعی که متغیر ما عددی است نیز پیشنهاد میشود.

    ------------------------------------------------------------------

    آسیب پذیری XSS

    Xss مخفف Cross Site Scripting بوده و این حملات زمانی رخ می دهد که یک سایت کد مخرب از کاربر دریافت کند و این کد از طریق این سایت در کامپیوتر قربانی مورد پردازش قرار گیرد. در واقع نفوذگر کد مخرب خود را که بر پایه دستورات html, JavaScript ,Css هست را به سایت آسیب پذیر وارد کرده و سایت بدون هیچ فیلتر و یا پردازش ورودی این کد را بر روی کامپیوتر قربانی اجرا می کند./ این روش بیشتر برروی نفوذ از طریق کاربران تمرکز دارد./

    این باگ عموما بر اثر بی توجهی و عدم بررسی ورودی ها رخ می دهد. مثال :
    کد PHP:
    <?php 
    $text 
    $_GET   91;'search'   93;; 
    echo 
    $text 
    ?>
    همانجور که مشاهده میکنید این کد ، به xss آسیب پذیر است.

    نحوه Patch(جلوگیری) از Xss :

    برای جلوگیری از این آسیب پذیری میتوان از دو تابع htmlentities و htmlspecialchars استفاده کرد. مثال :

    کد PHP:
    <?php 
    $text 
    htmlspecialchars($_GET   91;'search'   93;); 
    echo 
    $text 
    ?>

    OR

    <?php 
    $text 
    htmlentities($_GET   91;'search'   93;); 
    echo 
    $text 
    ?>
    کار این توابع این است که تمامی کاراکتر های استاندارد زبان html را به کد شده آن تبدیل می کند و از این آسیب پذیری جلوگیری میکند.

    لازم به ذکر است ، روش های دیگری نیز برای جلوگیری از این دو نوع آسیب پذیری Sql Injection و Xss وجود دارد که آن ها بستگی به برنامه نویس و محل استفاده دارد که تحقیق در سایر روشها رو به عهده خودتان میگذاریم.

    متاسفانه تالار برخی کد ها رو به **** تبدیل کرد که برای مشاهده کدها به وبلاگم مراجعه کنید.
    منبع : Ayoubsys.ir

    موفق باشید.


    ما زنـ-ـ-ـده به آنیـــم که آرام نگیریم
    موجیم که آسودگی ما عدم ماست


    تا یار که را خواهد و میلش به که باشد........

    الهی هیچ مسافری از رفیقهاش جا نمونه .... آمین

  4. 7 کاربر از پست مفید Arad تشکر کرده اند .


  5. #3
    دیگه صاحب خونه هستن
    تاریخ عضویت
    ۱۳۸۸-شهریور-۱۷
    محل سکونت
    barefoot in paradise
    جنسيت
    برادر
    نوشته ها
    9,111
    امتیاز : 78,558
    سطح : 100
    Points: 78,558, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 0%
    افتخارات:
    SocialYour first GroupVeteranCreated Album picturesTagger First Class
    تشکر کردن : 22,545
    تشکر شده 35,372 در 8,299 پست
    مخالفت
    93
    مخالفت شده 99 در 65 پست

    پیش فرض

    دادا نزن از این مبحث ها.
    دارید من رو وسوسه می کنید سراغ php و برنامه نویسی هم برم ها!

    گفته باشم! تقصیر خودتونه اگر من دیوونه شدم!


    just kidding!

    حسبنا الله و نعم الوکیل نعم المولی و نعم النصیر




  6. 5 کاربر از پست مفید مستاجر خدا تشکر کرده اند .


  7. #4
    دیگه صاحب خونه هستن مدال ها:
    Most Popular

    تاریخ عضویت
    ۱۳۹۱-فروردین-۱۸
    محل سکونت
    یه گوشه خلوت شیراز
    نوشته ها
    2,711
    امتیاز : 18,843
    سطح : 86
    Points: 18,843, Level: 86
    Level completed: 99%, Points required for next Level: 7
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsTagger First ClassVeteran
    تشکر کردن : 9,547
    تشکر شده 17,700 در 2,736 پست
    مخالفت
    0
    مخالفت شده 3 در 3 پست

    پیش فرض

    ایوب خان ادامه بده چهار تا چیز یاد بگیریم دور هم منم یه چیز های من بلد هستم تا یه ریویو از ایدی ترک ۱۶ سیلندر در سایت zone-h بکنم براتون
    ==--==--==--==--==--==

    ==--==--==--==--==--==

  8. 6 کاربر از پست مفید عرض از مبدا تشکر کرده اند .


  9. #5
    دیگه صاحب خونه هستن
    تاریخ عضویت
    ۱۳۹۰-خرداد-۱۹
    جنسيت
    برادر
    نوشته ها
    10,067
    امتیاز : 42,327
    سطح : 100
    Points: 42,327, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsOverdriveVeteranTagger First Class
    تشکر کردن : 54,998
    تشکر شده 22,295 در 4,610 پست
    مخالفت
    72
    مخالفت شده 63 در 55 پست

    پیش فرض

    نوشته اصلی توسط عرض از مبدا نمایش پست اصلی
    ایوب خان ادامه بده چهار تا چیز یاد بگیریم دور هم منم یه چیز های من بلد هستم تا یه ریویو از ایدی ترک ۱۶ سیلندر در سایت zone-h بکنم براتون
    سلام. چشم سید جان.
    ایشالا با کمک دوستان


    ما زنـ-ـ-ـده به آنیـــم که آرام نگیریم
    موجیم که آسودگی ما عدم ماست


    تا یار که را خواهد و میلش به که باشد........

    الهی هیچ مسافری از رفیقهاش جا نمونه .... آمین

  10. 2 کاربر از پست مفید Arad تشکر کرده اند .


  11. #6
    دیگه صاحب خونه هستن
    تاریخ عضویت
    ۱۳۴۸-دی-۱۱
    جنسيت
    برادر
    نوشته ها
    5,515
    امتیاز : 46,718
    سطح : 100
    Points: 46,718, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 47.0%
    افتخارات:
    SocialRecommendation Second Class50000 Experience PointsVeteran
    تشکر کردن : 5,807
    تشکر شده 17,822 در 4,429 پست
    مخالفت
    13
    مخالفت شده 34 در 27 پست

    پیش فرض

    سلام
    ما که هیچی نفهمیدیم....
    انشالله موفق باشید.

    ولی قفل کتابی از آویز بهتره!!!

  12. 3 کاربر از پست مفید mamad13 تشکر کرده اند .


  13. #7
    دیگه صاحب خونه هستن مدال ها:
    Most Popular

    تاریخ عضویت
    ۱۳۹۱-فروردین-۱۸
    محل سکونت
    یه گوشه خلوت شیراز
    نوشته ها
    2,711
    امتیاز : 18,843
    سطح : 86
    Points: 18,843, Level: 86
    Level completed: 99%, Points required for next Level: 7
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsTagger First ClassVeteran
    تشکر کردن : 9,547
    تشکر شده 17,700 در 2,736 پست
    مخالفت
    0
    مخالفت شده 3 در 3 پست

    پیش فرض شناسایی حفره های امنیتی xss در cms ها و نحوه نفوذ به آنها

    شناسایی حفره های امنیتی xss در cms ها و نحوه نفوذ به آنها


    خوب دوست عزیز مهربانم ایوب خان به صورت تخصصی این موضوع بسظ دادن و از اونجایی که دوستان سوال داشتند که چیه و.... یه شرح کاملا مبتدی و آسان و قدم به قدم گذاشتم

    همان طور که در بالا خوانید میدانید که XSS مخفف cross site scripting است و این سوال برایمان پیش می آید که چرا مخففش شده است XSS خوب خیلی ساده است شما اگر دقت کنید می بینید اگر به واقع بخواهیم مخففش را بگویم می شود CSS که چنین باگی وجود دارد و ممکن است با آن باگ اشتباه گرفته شود به همین دلیل X را به جای حرف C قرار دادند .

    مورد بعدی که باید به آن دقت شود این است که این باگ به سمت سیستم هدف می رود ( client side ) و نمی توانیم به صورت مستقیم بر روی سایت شل بریزیم .

    کد PHP:
     <?php
        
    echo "<html>
            <head>
                <title>www.rahpouyan.ir</title>
            </head>
            <body>
                <h2>Hi Dear user</h2>
                This is a simple example!
                <h3>have a nice time</h3>
            </body>
        </html>"
    ;
    ?>
    شما می توانید بر روی سیستم خود یک localhost نصب کنید و این مثال هایی که گفته می شود را خودتان عملی مشاهده کنید .

    خوب اگر ما کد PHP گفته شده بالا را در یک فایل با پسوند PHP قرار دهیم و در server خودمان upload کنیم خواهیم دید که تنها به ما خوشامد گویی می کند که شما می توانید برای دیدن آن کد زیر را در یک فایل با پسوند HTML قرار دهید و آن را باز کنید :

    کد HTML:
    <html>
        <head>
            <title>www.rahpouyan.ir</title>
        </head>
        <body>
            <h2>Hi Dear user</h2>
            This is a simple example!
            <h3>have a nice time</h3>
        </body>
    </html>
    شما دیدید که تنها یک خوشامد گویی به سمت client فرستاد و هیچ ورودی را از کاربر دریافت نکرد که بخواهد ورودی را به سمت server بفرستد و آن خروجی را دهد که ما می خواستیم .
    بنابراین نمی توان از این کد استفاده کرد و کد script خودمان را بر روی آن عملی کنیم . البته در یک صورت می توانستیم از کد استفاده کنیم آن هم اینکه در کد PHP زمان یا تاریخی از server دریافت کند که هم اکنون چنین نیست بنابراین قابل نفوذ هم نیست .

    حال بر روی کد دیگر بحث می کنیم .
    کد PHP:
     <?php
        
    @$name $_GET   91;name   93;;
        echo 
    "<html>
            <head>
                <title>www.rahpouyan.ir</title>
            </head>
            <body>
                <h2>Hi Dear "
    .$name."</h2>
                This is a simple example!
                <h3>have a nice time</h3>
            </body>
        </html>"
    ;
    ?>
    اگر ما کد PHP بالا را بر روی سرور Upload کنیم در اجرا خواهیم دید که از کاربر یک ورودی می خواهد که کاربر باید اسم خود را وارد کند تا با همان اسم به کاربر خوشامد گویی کند . اگر کاربر هیچ ورودی نداد خوشامد گویی را به صورت زیر مشاهده خواهد کرد :

    کد HTML:
    <html>
        <head>
            <title>www.rahpouyan.ir</title>
        </head>
        <body>
            <h2>Hi Dear</h2>
            This is a simple example!
            <h3>have a nice time</h3>
        </body>
    </html>
    که برای مشاهده خودتان می توانید کد HTML بالا را با پسوند HTML ذخیره کنید و بعد اجرا کنید .

    کمی توضیح در مورد کد HTML بالا می دهم تا مبتدی هایی مثل بنده هم کامل با آموزش پیش بیایند .

    وقتی در مرورگر خود صفحاتی باز می کنید بر روی tab های صفحات دیگر کمی توضیحاتی در مورد آن صفحه داده است تا شما راحت تر بتوانید صفحاتی را که باز کردید شناسایی کنید . کد زیر باعث می شود که در title صفحه ای که باز کردید www.rahpouyan.ir را نمایش دهد.
    کد HTML:
    <title>http://www.rahpouyan.ir</title>
    ما به درخواست server که مبتنی بر گرفتن اسم کاربر بود جواب ندادیم پس هیچ ورودی دریافت نکرده است بدین منظور تنها پیغام Hi Dear را از کد زیر دریافت می کنید .

    کد HTML:
    <h2>Hi Dear</h2>
    و بعد از آن پیغام This is a simple example! را مشاهده خواهید کرد.

    کد زیر هم باعث می شود که شما در آخر خوشامد گویی با پیغامی که معیین کردیم مواجه شوید .

    کد HTML:
    <h3>have a nice time</h3>
    حال می خواهیم یک حمله کوچک انجام دهیم :

    اگر برای خود یک localhost باز کردید و مراحل را پیش رفتیت آدرس زیر را در browser خود وارد کنید .

    کد:
    http://127.0.0.1/test.php?name=rahpouyan
    منظور از 127.0.0.1 همان آدرس localhost هست که باز کردید .

    در نتیجه خواهید دید که بدون آنکه ما وارد localhost شده باشیم و ورودی را که نام کاربر است داده باشیم برای ما خروجی به صورت زیر می دهد:

    کد HTML:
    <html>
        <head>
            <title>www.rahpouyan.ir</title>
        </head>
        <body>
            <h2>Hi Dear rahpouyan</h2>
            This is a simple example!
            <h3>have a nice time</h3>
        </body>
    </html>
    که اکنون باید بدانید چه تغییری ایجار کردیم . اگر متوجه نشده اید می توانید کد HTML بالا را با پسوند خودش ذخیره کنید و اجرا کنید .
    حال متوجه شدید که ما می توانیم خودمان دستوراتی را در مرورگر وارد کنیم و در نتیجه تغییراتی را بوجود آوریم . که می توانیم بجای درستور بالا تگ های HTML که خودمان می خواهیم وارد کنیم و در خروجی مشاهده کنیم .

    این مطلی برای درک راحت اسان بود ساده بود در صورت نیاز و اعلام تمایل این مباحث را ادامه خواهیم داده
    ویرایش توسط عرض از مبدا : دوشنبه ۱۴ مرداد ۹۲ در ساعت ۰۱:۳۱
    ==--==--==--==--==--==

    ==--==--==--==--==--==

  14. 7 کاربر از پست مفید عرض از مبدا تشکر کرده اند .


  15. #8
    مدیر سایت
    تاریخ عضویت
    ۱۳۴۸-دی-۱۱
    جنسيت
    برادر
    نوشته ها
    4,558
    امتیاز : 68,357
    سطح : 100
    Points: 68,357, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 0%
    افتخارات:
    SocialRecommendation Second ClassVeteranTagger First Class50000 Experience Points
    تشکر کردن : 9,141
    تشکر شده 22,704 در 4,108 پست
    حالت من : Khonsard
    مخالفت
    77
    مخالفت شده 110 در 89 پست

    پیش فرض

    نوشته اصلی توسط عرض از مبدا نمایش پست اصلی
    شناسایی حفره های امنیتی xss در cms ها و نحوه نفوذ به آنها


    خوب دوست عزیز مهربانم ایوب خانم به صورت تخصصی این موضوع بسظ دادن و از اونجایی که دوستان سوال داشتند که چیه و.... یه شرح کاملا مبتدی و آسان و قدم به قدم گذاشتم

    همان طور که در بالا خوانید میدانید که XSS مخفف cross site scripting است و این سوال برایمان پیش می آید که چرا مخففش شده است XSS خوب خیلی ساده است شما اگر دقت کنید می بینید اگر به واقع بخواهیم مخففش را بگویم می شود CSS که چنین باگی وجود دارد و ممکن است با آن باگ اشتباه گرفته شود به همین دلیل X را به جای حرف C قرار دادند .
    دکتر
    متاهل شدیا :دی
    دست بردار :دی

    اوی شوخی بودا، نیاید گیر بدید/ من با دکتر شوخی دارم
    رهرو آنست که آهسته و پیوسته رود ؟

  16. 4 کاربر از پست مفید رهرو تشکر کرده اند .


  17. #9
    دیگه صاحب خونه هستن مدال ها:
    Most Popular

    تاریخ عضویت
    ۱۳۹۱-فروردین-۱۸
    محل سکونت
    یه گوشه خلوت شیراز
    نوشته ها
    2,711
    امتیاز : 18,843
    سطح : 86
    Points: 18,843, Level: 86
    Level completed: 99%, Points required for next Level: 7
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsTagger First ClassVeteran
    تشکر کردن : 9,547
    تشکر شده 17,700 در 2,736 پست
    مخالفت
    0
    مخالفت شده 3 در 3 پست

    پیش فرض

    نوشته اصلی توسط رهرو نمایش پست اصلی
    دکتر
    متاهل شدیا :دی
    دست بردار :دی

    اوی شوخی بودا، نیاید گیر بدید/ من با دکتر شوخی دارم
    سلام صد درود بر مدیر سایت محترم برادر گران قدر ...
    شعر می نویسم میگن این چیه ...
    مطلب میزاریم میگن چرا اینطوریه
    نکته میگن میگن رویایی
    نقد میکنیم کسی حوصله نداره
    شرح میدیم میگن فایده نداره
    گفتیم اینجا اینو بزنیم شاد باعث بهجت ذوستان شد

    این همه مطلب نوشتیم حالا از سواد ناقص بنده غلط املایی بگیر والا بخدا این لپ تاپ ما کبیورد فارسی نداره سیستم عاملش هم ویندوز نیست سر ناسازگاری میزاری

    اموزش ویروس نویسی تروجان میزارم هااا
    ویرایش توسط عرض از مبدا : دوشنبه ۱۴ مرداد ۹۲ در ساعت ۰۱:۳۳
    ==--==--==--==--==--==

    ==--==--==--==--==--==

  18. 7 کاربر از پست مفید عرض از مبدا تشکر کرده اند .


  19. #10
    دیگه صاحب خونه هستن
    تاریخ عضویت
    ۱۳۸۹-مهر-۲۷
    محل سکونت
    شیراز
    جنسيت
    خواهر
    نوشته ها
    4,640
    امتیاز : 103,575
    سطح : 100
    Points: 103,575, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 0%
    افتخارات:
    SocialRecommendation Second ClassVeteranCreated Album pictures50000 Experience Points
    تشکر کردن : 29,106
    تشکر شده 19,828 در 3,888 پست
    حالت من : Shad
    مخالفت
    0
    مخالفت شده 1 بار در 1 پست

    پیش فرض

    بابام میگه توکه انقدر پای کامپیوتر میشینی

    یکم بگرد شاید حفره های امنیتی ویندوز 8 رو پیدا کردی 100000 دلارو بردی
    چی بگم والا…
    یااباعبدالله در راه رسیدن به تو گیرم که بمیرم
    اصلا به تو افتاده مسیرم که بمیرم
    یا چشم بپوش از من و از خویش برانم
    یا سخت در اغوش بگیرم که بمیرم

    ......................


  20. #11
    کاربر قديمی
    تاریخ عضویت
    ۱۳۸۳-شهریور-۱۵
    نوشته ها
    76
    امتیاز : 10,775
    سطح : 68
    Points: 10,775, Level: 68
    Level completed: 82%, Points required for next Level: 75
    Overall activity: 0%
    افتخارات:
    SocialVeteran10000 Experience Points
    تشکر کردن : 266
    تشکر شده 382 در 79 پست
    مخالفت
    0
    مخالفت شده 0 در 0 پست

    پیش فرض

    نوشته اصلی توسط مهاجر نمایش پست اصلی
    اموزش ویروس نویسی ؟!!!ایول

    اگه این مبحث زده بشه فکر کنم همسرم همه کارو زندگیش ول کنه پاشه بیاد تالار.شروع کاراش ویروس نویسی بوده و براش حسابی جذابه
    با معرفت خبر نداده بودیااااا حالا من باید از جناب مستاجر بشنوم؟؟؟
    ---------------------------------------
    سوات ندارم امضا كنم انگشت ميزنم[]

    اگر فقط تا چند ثانیه دیگه روی این پیوند کلیک نکنید، میترکید و میپاشید تو در و دیفال(تبلیغ نیست)

    دست نوشته هاي من و همسرم ^^^

  21. 3 کاربر از پست مفید H05531N تشکر کرده اند .


  22. #12
    کاربر قديمی
    تاریخ عضویت
    ۱۳۸۳-شهریور-۱۵
    نوشته ها
    76
    امتیاز : 10,775
    سطح : 68
    Points: 10,775, Level: 68
    Level completed: 82%, Points required for next Level: 75
    Overall activity: 0%
    افتخارات:
    SocialVeteran10000 Experience Points
    تشکر کردن : 266
    تشکر شده 382 در 79 پست
    مخالفت
    0
    مخالفت شده 0 در 0 پست

    پیش فرض

    نوشته اصلی توسط ترنم رضوي نمایش پست اصلی
    بابام میگه توکه انقدر پای کامپیوتر میشینی

    یکم بگرد شاید حفره های امنیتی ویندوز 8 رو پیدا کردی 100000 دلارو بردی
    چی بگم والا…
    یکم دیره آخه پیدا شده
    زیرو دیش رو هم میفروشن
    ---------------------------------------
    سوات ندارم امضا كنم انگشت ميزنم[]

    اگر فقط تا چند ثانیه دیگه روی این پیوند کلیک نکنید، میترکید و میپاشید تو در و دیفال(تبلیغ نیست)

    دست نوشته هاي من و همسرم ^^^

  23. 3 کاربر از پست مفید H05531N تشکر کرده اند .


  24. #13
    دیگه صاحب خونه هستن مدال ها:
    Most Popular

    تاریخ عضویت
    ۱۳۹۱-فروردین-۱۸
    محل سکونت
    یه گوشه خلوت شیراز
    نوشته ها
    2,711
    امتیاز : 18,843
    سطح : 86
    Points: 18,843, Level: 86
    Level completed: 99%, Points required for next Level: 7
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsTagger First ClassVeteran
    تشکر کردن : 9,547
    تشکر شده 17,700 در 2,736 پست
    مخالفت
    0
    مخالفت شده 3 در 3 پست

    پیش فرض

    دوستان اگر با اموزش موافق هستند اعلام کنند تا ادامه بدم به طور گام به گام
    ==--==--==--==--==--==

    ==--==--==--==--==--==

  25. 4 کاربر از پست مفید عرض از مبدا تشکر کرده اند .


  26. #14
    کاربر قديمی
    تاریخ عضویت
    ۱۳۸۳-شهریور-۱۵
    نوشته ها
    76
    امتیاز : 10,775
    سطح : 68
    Points: 10,775, Level: 68
    Level completed: 82%, Points required for next Level: 75
    Overall activity: 0%
    افتخارات:
    SocialVeteran10000 Experience Points
    تشکر کردن : 266
    تشکر شده 382 در 79 پست
    مخالفت
    0
    مخالفت شده 0 در 0 پست

    پیش فرض

    نوشته اصلی توسط عرض از مبدا نمایش پست اصلی
    سلام صد درود بر مدیر سایت محترم برادر گران قدر ...
    شعر می نویسم میگن این چیه ...
    مطلب میزاریم میگن چرا اینطوریه
    نکته میگن میگن رویایی
    نقد میکنیم کسی حوصله نداره
    شرح میدیم میگن فایده نداره
    گفتیم اینجا اینو بزنیم شاد باعث بهجت ذوستان شد

    این همه مطلب نوشتیم حالا از سواد ناقص بنده غلط املایی بگیر والا بخدا این لپ تاپ ما کبیورد فارسی نداره سیستم عاملش هم ویندوز نیست سر ناسازگاری میزاری

    اموزش ویروس نویسی تروجان میزارم هااا
    بسیار پایم و شدیدا تشویق می کنم
    ---------------------------------------
    سوات ندارم امضا كنم انگشت ميزنم[]

    اگر فقط تا چند ثانیه دیگه روی این پیوند کلیک نکنید، میترکید و میپاشید تو در و دیفال(تبلیغ نیست)

    دست نوشته هاي من و همسرم ^^^

  27. 3 کاربر از پست مفید H05531N تشکر کرده اند .


  28. #15
    دیگه صاحب خونه هستن
    تاریخ عضویت
    ۱۳۸۹-مهر-۲۷
    محل سکونت
    شیراز
    جنسيت
    خواهر
    نوشته ها
    4,640
    امتیاز : 103,575
    سطح : 100
    Points: 103,575, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 0%
    افتخارات:
    SocialRecommendation Second ClassVeteranCreated Album pictures50000 Experience Points
    تشکر کردن : 29,106
    تشکر شده 19,828 در 3,888 پست
    حالت من : Shad
    مخالفت
    0
    مخالفت شده 1 بار در 1 پست

    پیش فرض

    نوشته اصلی توسط H05531N نمایش پست اصلی
    یکم دیره آخه پیدا شده
    زیرو دیش رو هم میفروشن
    جدی نبود
    طنز بود جناب
    یااباعبدالله در راه رسیدن به تو گیرم که بمیرم
    اصلا به تو افتاده مسیرم که بمیرم
    یا چشم بپوش از من و از خویش برانم
    یا سخت در اغوش بگیرم که بمیرم

    ......................


  29. 2 کاربر از پست مفید ترنم رضوي تشکر کرده اند .


  30. #16
    کاربر قديمی
    تاریخ عضویت
    ۱۳۸۳-شهریور-۱۵
    نوشته ها
    76
    امتیاز : 10,775
    سطح : 68
    Points: 10,775, Level: 68
    Level completed: 82%, Points required for next Level: 75
    Overall activity: 0%
    افتخارات:
    SocialVeteran10000 Experience Points
    تشکر کردن : 266
    تشکر شده 382 در 79 پست
    مخالفت
    0
    مخالفت شده 0 در 0 پست

    پیش فرض

    نوشته اصلی توسط عرض از مبدا نمایش پست اصلی
    دوستان اگر با اموزش موافق هستند اعلام کنند تا ادامه بدم به طور گام به گام
    بنده موافقم و اگر کاری از دستم بر بیاد حتما کمک می کنم
    نکته بگم تشویق بشند دوستان ؟؟؟؟
    تو blogsky و persianblog و چنتا بلاگ سررویس خارجی یک باگ xss هست (البته ار نوع xsrf) که می تونین هر بلاگی رو که خواستین باهاش بزنید

    اینم آخرین بار که داشتم رو فیس بوک کار میکردم پیدا کردم
    http://apps.facebook.com/flixville/s...in%20%E2%80%8B
    نمی دونم الان هم کار میکنه یا نه ما سال قبل الان vpn ندارم چک کنم

    خدا یه وقت آزاد بده تو خیلی از سایت های بزرگ xss هایی پیدا میشه که فکرشم نمی کنید
    کلا بهترین شبوه هست برای web app هکینگ
    ---------------------------------------
    سوات ندارم امضا كنم انگشت ميزنم[]

    اگر فقط تا چند ثانیه دیگه روی این پیوند کلیک نکنید، میترکید و میپاشید تو در و دیفال(تبلیغ نیست)

    دست نوشته هاي من و همسرم ^^^

  31. 3 کاربر از پست مفید H05531N تشکر کرده اند .


  32. #17
    دیگه صاحب خونه هستن مدال ها:
    Most Popular

    تاریخ عضویت
    ۱۳۹۱-فروردین-۱۸
    محل سکونت
    یه گوشه خلوت شیراز
    نوشته ها
    2,711
    امتیاز : 18,843
    سطح : 86
    Points: 18,843, Level: 86
    Level completed: 99%, Points required for next Level: 7
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsTagger First ClassVeteran
    تشکر کردن : 9,547
    تشکر شده 17,700 در 2,736 پست
    مخالفت
    0
    مخالفت شده 3 در 3 پست

    پیش فرض

    نوشته اصلی توسط H05531N نمایش پست اصلی
    بنده موافقم و اگر کاری از دستم بر بیاد حتما کمک می کنم
    نکته بگم تشویق بشند دوستان ؟؟؟؟
    تو blogsky و persianblog و چنتا بلاگ سررویس خارجی یک باگ xss هست (البته ار نوع xsrf) که می تونین هر بلاگی رو که خواستین باهاش بزنید

    اینم آخرین بار که داشتم رو فیس بوک کار میکردم پیدا کردم
    http://apps.facebook.com/flixville/s...in%20%E2%80%8B
    نمی دونم الان هم کار میکنه یا نه ما سال قبل الان vpn ندارم چک کنم

    خدا یه وقت آزاد بده تو خیلی از سایت های بزرگ xss هایی پیدا میشه که فکرشم نمی کنید
    کلا بهترین شبوه هست برای web app هکینگ

    ما در این مبحث یاد خواهیم گرفت که چگونه حفره های امنیتی XSS را از CMS های موجود در بیاوریم و از آن ها به نفع خودمان استفاده کنیم و در حالت کلی یاد خواهیم گرفت که چرا ما می توانیم با گذاشتن یک کد script پیغام ها و ... را تغییر دهیم .

    خیلی ها معتقد هستند که چنین باگی تنها در سایت های معمولی رخ می دهد و باگ جالبی نیست ولی ما این عقیده را تکذیب می کنیم و می گوییم سایت های معروفی مانند www.translate.google.com و www.youtube.com و ... هم چنین باگی پیدا می کنند و می گوییم که باگ بسیار جالبی هست و می توانیم با دستوراتی که در بیشتر سایت ها گفته نشده است استفاده های بسیار خطرناکی به نفع خود کنیم .
    ==--==--==--==--==--==

    ==--==--==--==--==--==

  33. 5 کاربر از پست مفید عرض از مبدا تشکر کرده اند .


  34. #18
    دیگه صاحب خونه هستن
    تاریخ عضویت
    ۱۳۹۰-خرداد-۱۹
    جنسيت
    برادر
    نوشته ها
    10,067
    امتیاز : 42,327
    سطح : 100
    Points: 42,327, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsOverdriveVeteranTagger First Class
    تشکر کردن : 54,998
    تشکر شده 22,295 در 4,610 پست
    مخالفت
    72
    مخالفت شده 63 در 55 پست

    پیش فرض

    سلام. خیلی عالیه دوستان همگام شدن با مبحث.
    ویرایش توسط Arad : دوشنبه ۱۴ مرداد ۹۲ در ساعت ۱۵:۰۸


    ما زنـ-ـ-ـده به آنیـــم که آرام نگیریم
    موجیم که آسودگی ما عدم ماست


    تا یار که را خواهد و میلش به که باشد........

    الهی هیچ مسافری از رفیقهاش جا نمونه .... آمین

  35. کاربر روبرو از پست مفید Arad تشکر کرده است .


  36. #19
    دیگه صاحب خونه هستن مدال ها:
    Most Popular

    تاریخ عضویت
    ۱۳۹۱-فروردین-۱۸
    محل سکونت
    یه گوشه خلوت شیراز
    نوشته ها
    2,711
    امتیاز : 18,843
    سطح : 86
    Points: 18,843, Level: 86
    Level completed: 99%, Points required for next Level: 7
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsTagger First ClassVeteran
    تشکر کردن : 9,547
    تشکر شده 17,700 در 2,736 پست
    مخالفت
    0
    مخالفت شده 3 در 3 پست

    پیش فرض

    امیدوارم قسمت اول را کاملا فهمیده باشید تا در ادامه آموزش به مشکل بر نخورید.

    برای شما دوستان عزیز بعد از خواندن مطالب فوق حتما سوالی پیش آمده است مبنی بر اینکه چگونه بفهمیم سایت مورد نظرمان چنین باگی دارد ؟

    ما می توانیم با استفاده از یک ورودی ساده باگ را تشخیص دهیم که ورودی را در زیر می بینید :

    کد:
    a<u>b</u>c
    اگر بعد از دادن ورودی بالا مشاهده کردید که حرف b به صورت یک خط تیره در خروجی قرار گرفته است بدانید که باگ دارد .
    اگر هم مشاهده کردید که صفحه ناقص load شده بود و یا اینکه error داد بدانید در تنضیمات سایت یک سری ف / ی / ل / ت / ر هایی قرار داده اند تا ورودی کاربر را چک کند .

    نکته :
    ---------------

    اگر مشاهده کردید که در یک قسمتی از سایت شکست خوردید نا امید نشوید و قسمت های دیگر را هم چک کنید .

    در کل ورودی ما به server تنها مختص به یک جا نیست و می توانیم از روش های دیگر و یا مکان های دیگر سایت استفاده کنیم .

    به طور مثال از قسمت cookie می توانیم داشتن باگ را چک کنیم

    به کد PHP زیر دقت کنید :

    کد PHP:
     <?php
        
    @$input $_COOKIE   91;input   93;;
        if(!
    $input)
            
    $input "not given";
        echo 
    "<html>
            <head>
                <title>www.rahpouyan.ir</title>
            </head>
            <body>
                <h2>according to your cookie , input parameter is "
    .$input."!</h2>
            </body>
        </html>"
    ;
    ?>
    این یک نمونه از کد قسمت cookie است .

    اگر ما در کوکی کد زیر را به server بدهیم

    کد:
    input=a<u>b</u>c
    خواهیم دید که خروجی به شکل زیر نشان خواهد داد :

    کد HTML:
    <html>
        <head>
            <title>www.rahpouyan.ir</title>
        </head>
        <body>
            <h2>according to your cookie , input parameter is a<u>b</u>c!</h2>
        </body>
    </html>
    که می توانید برای دیدن خروجی کد HTML را با پسوند خودش ذخیره و بعد اجرا کنید .

    تا اینک ما توانستیم خروجی هایی که از طرف server می آید را با ورودی خو تغییر دهیم و همینطور توانستیم محتویات صفحه را که از server می آید با خروجی های خودمان تغییر دهیم .
    و فهمیدیم که تنها تغییر دادن محتوای خروجی مهم نیست و مهم این است که دقیقا ورودی ما را در خروجی قرار دهد و این هم مهم است که بدانید تغییر دادن صفحه سایت تنها برای خودمان هیچ ارزشی ندارد و باید کاری کنیم که افراد دیگر هم وقتی وارد سایت یا همان صفحه مورد attack ما می شوند تغییرات را مشاهده کنند .

    یک سری کد هایی وجود دارد که می توانیم به وسیله آن ورودی های کاربر را چک کنیم و کارکتر های خاص را با معادل آن در HTML قرار دهیم که به همان معنای ف / ی / ل / ت / ر کردن است که بیشتر در source صفحه قرار می دهند :

    کد:
    &lt;div id="app-message"&gt; a &amp;lt; u &amp;gt; b &amp;lt;/ u &amp;gt; c &lt;/div&gt;
    در قسمت های دیگر می خواهیم روش های استفاده از این باگ را توضیح دهیم .
    سعی کنید کاملا با آموزشات پیش بیایید .

    امیدوارم مورد قبول واقع شده باشد
    ==--==--==--==--==--==

    ==--==--==--==--==--==

  37. 2 کاربر از پست مفید عرض از مبدا تشکر کرده اند .


  38. #20
    عضو جديد
    تاریخ عضویت
    ۱۳۹۲-مرداد-۲۰
    جنسيت
    خواهر
    نوشته ها
    33
    امتیاز : 742
    سطح : 14
    Points: 742, Level: 14
    Level completed: 43%, Points required for next Level: 58
    Overall activity: 0%
    افتخارات:
    3 months registered500 Experience Points
    تشکر کردن : 89
    تشکر شده 92 در 31 پست
    مخالفت
    0
    مخالفت شده 0 در 0 پست

    پیش فرض

    سلام
    مبحث خیلی جذابی بود چرا دیگه ادامه ندادین؟
    مرغ باغ ملکوتم نی ام از عالم خاک
    چند روزی ...

  39. 2 کاربر از پست مفید مرغ باغ ملکوت تشکر کرده اند .


  40. #21
    دیگه صاحب خونه هستن مدال ها:
    Most Popular

    تاریخ عضویت
    ۱۳۹۱-فروردین-۱۸
    محل سکونت
    یه گوشه خلوت شیراز
    نوشته ها
    2,711
    امتیاز : 18,843
    سطح : 86
    Points: 18,843, Level: 86
    Level completed: 99%, Points required for next Level: 7
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsTagger First ClassVeteran
    تشکر کردن : 9,547
    تشکر شده 17,700 در 2,736 پست
    مخالفت
    0
    مخالفت شده 3 در 3 پست

    پیش فرض

    نوشته اصلی توسط مرغ باغ ملکوت نمایش پست اصلی
    سلام
    مبحث خیلی جذابی بود چرا دیگه ادامه ندادین؟
    به علت پاره ای از مشکلات از ادامه مبحث معذوریم
    ==--==--==--==--==--==

    ==--==--==--==--==--==

  41. 2 کاربر از پست مفید عرض از مبدا تشکر کرده اند .


  42. #22
    عضو جديد
    تاریخ عضویت
    ۱۳۹۲-آبان-۰۵
    جنسيت
    خواهر
    نوشته ها
    1
    امتیاز : 180
    سطح : 3
    Points: 180, Level: 3
    Level completed: 60%, Points required for next Level: 20
    Overall activity: 0%
    افتخارات:
    31 days registered100 Experience Points
    تشکر کردن : 0
    تشکر شده 0 در 0 پست
    مخالفت
    0
    مخالفت شده 0 در 0 پست

    پیش فرض

    Cross Site Scripting (XSS ) سلام درمورد موضوعی که نوشتم کامل توضیحات میخوام لطفا اکه کسی داره


  43. #23
    دیگه صاحب خونه هستن
    تاریخ عضویت
    ۱۳۹۰-خرداد-۱۹
    جنسيت
    برادر
    نوشته ها
    10,067
    امتیاز : 42,327
    سطح : 100
    Points: 42,327, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsOverdriveVeteranTagger First Class
    تشکر کردن : 54,998
    تشکر شده 22,295 در 4,610 پست
    مخالفت
    72
    مخالفت شده 63 در 55 پست

    پیش فرض

    ^
    سلام. در بالا توضیحاتی در مورد این نوع آسیب پذیری (xss) داده شده است.
    اما مقاله ای دیگر:
    http://www.parsdata.com/articles/what-is-xss

    همونگونه که در بالا توسط دوستان نیز گفته شد ، میتوان برای جلوگیری از این آسیب پذیری ، ورودی خود را توسط توابع htmlspecialchars ، htmlentities ، strip_tags استفاده کرد.
    بصورت مثال:

    <?php
    $myname = $_GET[name];
    echo $myname;
    ?>

    که اکنون ورودی بدون بررسی و فیلتر داره چاپ میشه و بقولا دارای باگ.
    کافیه ورودی رو با توابع بالا فیلتر کنیم. بدین صورت:

    <?php
    $myname = htmlspecialchars($_GET[name]);
    echo $myname;
    ?>

    پایان.

  44. کاربر روبرو از پست مفید Arad تشکر کرده است .


  45. #24
    186
    186 آنلاین نیست.
    عضو جامعه
    تاریخ عضویت
    ۱۳۹۲-تیر-۱۷
    جنسيت
    برادر
    نوشته ها
    214
    امتیاز : 6,333
    سطح : 51
    Points: 6,333, Level: 51
    Level completed: 92%, Points required for next Level: 17
    Overall activity: 0%
    افتخارات:
    SocialCreated Blog entry5000 Experience Points1 year registered
    تشکر کردن : 1,614
    تشکر شده 872 در 190 پست
    حالت من : Ashegh
    نوشته های وبلاگ
    1
    مخالفت
    0
    مخالفت شده 1 بار در 1 پست

    پیش فرض

    نوشته اصلی توسط عرض از مبدا نمایش پست اصلی
    به علت پاره ای از مشکلات از ادامه مبحث معذوریم
    سلام
    اسو ما میخوایم یاد بگیریم

  46. کاربر روبرو از پست مفید 186 تشکر کرده است .


  47. #25
    دیگه صاحب خونه هستن
    تاریخ عضویت
    ۱۳۴۸-دی-۱۱
    محل سکونت
    شیرازووو ، فلکه گازوو ، کوچه درازووو ، در بازووو
    جنسيت
    برادر
    سن
    -1993
    نوشته ها
    11,580
    امتیاز : 123,049
    سطح : 100
    Points: 123,049, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 99.0%
    افتخارات:
    SocialYour first GroupRecommendation First ClassVeteranCreated Album pictures
    تشکر کردن : 35,154
    تشکر شده 42,004 در 9,343 پست
    نوشته های وبلاگ
    1
    مخالفت
    206
    مخالفت شده 166 در 132 پست

    پیش فرض

    انتشار نسخه 7 PHP

    امسال هفتمین سال است که زبان برنامه نویسی php به عنوان چهارمین زبان محبوب در میان برنامه نویسان انتخاب می شود. این زبان در بیش از ۲۰۰ میلیون وبسایت فعال در اینترنت به کار گرفته شده است و چیزی حدود ۸۱٫۷ درصد از سرور های فعال کنونی در حال اجرای این زبان برای اجرای وبسایت ها هستند.
    php این هفته با یک جهش رو به جلو در بروز رسانی خود تغییرات عمده ای را برای برنامه نویس ها فراهم کرده است، از سال ۲۰۰۴ که نسخه ۵ این زبان برنامه نویسی ارائه شده بروز رسانی های این چنینی بی سابقه است.
    در نسخه PHP 7 شاهد بهبود عملکردی هستیم که تا ۳ برابر سرعت و کارایی بیشتر را نسبت به نسخه PHP 5.6 در اختیار ما قرار خواهد داد. نسخه جدید شامل تغییرات ریز و درشت بسیاری است، کاهش قابل توجه استفاده از حافظه، تعریف نوع بازگشتی اعلان ها و … همچنین در نسخه ۷ PHP شاهد تغییرات عمده ای هستیم راجع به حذف حالت safe mode و magic quotes و …
    با توجه به این تغییرات گسترده در نسخه جدید باید شاهد طراحی دوباره برای قسمت های مختلف جهت بهینه شدن با این نسخه در اپلیکیشن هایی نظیر وردپرس باشیم.
    مختار: خدایا بهشتت را نمیخواهم ، فقط آنقدر به من فرصت بده تا دستم دوباره به قبضه شمشیرم برسد ؛
    آنوقت اگر خواستی به دوزخم بفرستی ... بفرست .





اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

کلمات کلیدی این موضوع

علاقه مندی ها (Bookmarks)

علاقه مندی ها (Bookmarks)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  
درباره ما

جامعه مجازی رهپویان به عنوان شبکه اجتماعی اعضاء کانون فرهنگی رهپویان وصال از سال 1381 و به عنوان یکی از قدیمی ترین تالارهای گفتمان فضای وب فارسی مشغول به فعالیت می باشد. تمامی تلاش دست اندرکاران مجموعه، فراهم آوردن محیطی سالم، مفید و آموزنده برای کاربران گرامی می باشد بدیهی است مطالب درج شده نظرات کانون رهپویان وصال نبوده و نظرات رسمی در سایت رهپویان وصال درج می گردد.

ارسال پیام به مدیر سایت
session بارگذاری مجدد کد امنیتی مندرج در تصویر را وارد کنید:
شادی روح 14 شهید کانون فرهنگی رهپویان وصال صلوات

Content Relevant URLs by vBSEO 3.6.1