آخرین مطالب
امکانات وب
آقا دیدید بعضی از سایت ها و انجمنها یه قسمت واسه تغییر Avatar(آواتار) پروفایل دارن؟ (اونم بصورت remote url)
و دیدید بعضیها(حتی شما! ) کوکی، session و همه جدو آباد login رو داخل URL در نوار آدرس مرورگر هی اینور و اونور میبرن؟ (get می کنن...) ؟
خب بذارید یه چیز ساده ولی خانمان خراب کن بهتون نشون بدم تا ادب بشید و دیگه از اینکارا نکنید! 
یه نگاهی به پروفایل من در انجمن SMFpacks.com بندازید:
http://smfpacks.com/mlist/y-p-y_38728
حالا یه نگاهی به آخرین اطلاعات ثبت شده در این سایت بندازید:
http://yousha.byethost4.com/data.txt
تبریک، اطلاعات اولیه تون سرقت و ثبت شد!
حالا یه نگاهی به پروفایل من در انجمن SMFhacks.com بندازید:
http://smfhacks.com/index.php?action=profile;u=13430
بعد یه نگاهی به آخرین اطلاعات ثبت شده در این سایت بندازید:
http://yousha.byethost4.com/data2.txt
باز هم میبینید که اطلاعات اولیه تون سرقت و ثبت شده! در صورتی که هیچ عکسی در این پروفایل من وجود نداره (البته به ظاهر، چونکه عکس کوچیک و سفید هستش!)
چرا؟ چطوری؟
اینه:
1- انجمن ساز مسخره SMF اجازه قراردادن تصویر آواتار بصورت Remote رو میده
2- هیچگونه محدودیتی برای نوع فایل قرار داده شده وجود نداره
3- هیچگونه بررسی هم برای تشخص سلامت داخلی تصویر انجام نمیده
اینطوری میشه که هکر براحتی هر فایلی با هر پسوند و محتوایی رو که بخواد می تونه بر روی سایت قرار بده و تمام بازدیدکنندگان رو قربانی کنه!
این واسه قسمت اولش بود، حالا قسمت دومش، Session Hijacking و لاگین کردن با Admin/Moderator یا حتی دیفیس کردن انجمنه!
خب از طریق همین راه بکمک جاوا اسکریپت میشه Session/Cookie کاربران، ناظمان و مدیران رو هم بسرقت برد...
کافیه که با همون اکانتم یه تاپیک ساده بزنم و با ورود بازدید کننده ها به تاپیک، Cookie هاشونو بدزدم... یا حتی یه پستی رو گزارش کنم و داخلش عکس آلوده رو ( [i mg]http://test.com/1.jpg[/i mg] ) بگونجونم و ناظم با دیدن گزارش قربانی بشه... یا حتی بسادگی یه PM بزنم به مدیر سایت (مثلاً وحید!![[تصویر: wewa_untitled.png]](http://uupload.ir/files/wewa_untitled.png)
) و وقتی که مدیر PM رو باز کرد آلوده بشه...
به همین راحتی Session Hijacking - Active هم انجام میشه!
چونکه خیلی ها از جمله همین انجمن ساز SMF، سشن و کوکی رو در URL قرار میدن یا در بیشتر قسمتهای مدیریتی(moderation و adminitration) تمام محتوای Login رو در URL حمل میکن... پس براحتی میشه از طریق javascript یا referer یا frame یا غیره بدستش اورد و حتی XSS انجام داد...
پس پیشنهاد میکنم:
1- برای بخش آواتار نرم افزارهاتون Remote نذارید.
2- اگر برای بخش آواتار نرم افزارهاتون Remote گذاشتید، حتماً حتماً براش محدودیت هایی قرار بدید و سلامت تصویر چک کنید
3- از انجمن ساز SMF استفاد نکنید!
4- اگر مجبورید از SMF استفاده کنید یا همین الان نصب هستش خودتون پچش کنید (فایل Subs-Menu.php خطوط 74 و 80)
4- هرگز داده های Login کوکی سشن و اطلاعات حساس رو در URL دست به دست نگردونید. (get نکنید)
5- سیستم احراز هویت تعبیه کنید(مثلاً با SMS, Email, OpenID) و درصورت تغییر IP Range بخواید که کاربر خودشو ثابت کنه.
6- بعد از هربار تغییر password یا email کاربر رو LOGOUT کنید و کلیه session/cookie های قبلیشو بی اعتبار کنید.
و امثالش...
پ.ن.: جالب اینکه با دانلود اون عکس پروفایلم یه فایل php دانلود میشه، ولی وقتی که بازش می کنید محتواش binary و ناخوانا هستش. و وقتی هم که پسوندشو به jpg تغییر میدید تبدیل میشه به همون عکس
پ.ن. 2: الان بنظرتون چکار کنم با اون انجمنا؟ خخخخخخخخ
شهید محمد علی رجایی: مردم ما از کمبود ها و کسریها گله ندارند، آنچه مردم را می آزارد و صدایشان را در می آورد وجود تبعیضات ناروا و سوء استفاده از بیت المال است!
php مرکز کد های سایت...ما را در سایت php مرکز کد های سایت دنبال میکنید
برچسب: نویسنده: استخدام کار بازدید: 231