• 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
امنیت این جامعه مجازی (همه ی دوستان کمکم کنن: منتظر تجربیات همتون هستم)
#1
سلام و خسته نباشید به دوستان عزیز
به این آدرس ی سری بزنید.
http://www.zncms.ir
الآن دو ماهی میشه که دارم روی این جامعه مجازی کار میکنم بالاخره تموم شد.این جامعه مجازی در مورد صنعت سنگ هستش.
میخوام از تجربیات همه ی شما دوستان تو امنیت این پروژه کمک بگیرم.
ابتدا من بگم که چ کارایی رو برای امنیت این پروژه انجام دادم.

1- برای جلوگیری از حملات sql_injection از pdo استفاده کردم و تمام کوئری هام رو با استفاده از prepare اجرا کردم.
به نظرم برای جلوگیری از حملات sqlinjection همین قدر کافیه.
آیا راه حل دیگری به ذهنتان میرسد.

2-برای جلوگیری از حملات xss و امسال اینها از توابع زیر استفاده کردم
htmlentitis
striptags
htmlspeacialcharts
و برای امنیت بیشتر از کتاب خانه ی htmlpruf استفاده کردم.

3- برای جلوگیری از آپلود انواع شل به جای عکس از توابع gd استفاده کردم.
نام تصاویر به طور رندوم عوض میکنم و کاربر به هیچ عنوان نمیتونه بعد از آپلود تصویر نام تصویر رو حدث بزنه.
جلوی لیست دایرکتوری رو گرفتم و کاربر نمیتونه دایرکتوری هامو لیست کنه.

4-از ckeditor استفاده کردم ولی نمیشه باهاش آپلود کرد. ی خطایی میده که دقیق نمیدونم چیه؟
برای ckeditor از htmlpruf استفاده کردم.

5- برای ثبت نام و کارهایی از این قبیل از کپتا استفاده کردم.
کپتا رو خودم ساختم : ب نظرتون چطوریه؟ آیا حدث زدنش برای ربات ها آسونه یا نه؟

6- کنترل خطارو تو کل برنامه صفر کردم
7- url رو به طور کامل کنترل کردم.

بخش ثبت نام و ورود چ مشکلاتی داره؟
به نظرتون دیگه باید کجاهای پروژه رو چک کنم؟
آیا چیزی از یادم رفته که چک نکرده باشم؟
تو چنین پروژه هایی باید تمرکزم رو کجا بزارم؟
چ پیشنهاداتی برای امنیت بیشتر و بهتر دارین؟

ممنون از راهنمایی هاتون

برای چک امنیت این پروژه نرم افزار یا سایتی سراغ دارید که با چک پروژه ، راه های نفوذ و باگهای امنیتی رو نشون بده؟
ممنون
  پاسخ
تشکر شده توسط :
#2
کسی در این مورد حرفی نداره؟
  پاسخ
تشکر شده توسط :
#3
نقل قول:برای چک امنیت این پروژه نرم افزار یا سایتی سراغ دارید که با چک پروژه ، راه های نفوذ و باگهای امنیتی رو نشون بده؟

Acunetix Web Vulnerability Scanner
هر چیزی که در جستن آنی آنی...
غایب
  پاسخ
تشکر شده توسط : olampiad
#4
من اینجا یه پست داشتم Huh
وبلاگ: Yousha.Blog.ir

صدام: "اگر با ارتش شاه ایران طرف بودیم، یک ماهه جنگ را می بردیم"
http://gulfnews.com/opinion/thinkers/ira...i-1.500997
  پاسخ
تشکر شده توسط : olampiad
#5
(۱۳۹۴ اسفند ۲۸, ۱۱:۲۷ ب.ظ)Y.P.Y نوشته: من اینجا یه پست داشتم Huh

پاك كردنش كار من نبوده! گفته باشم Undecided
هر چیزی که در جستن آنی آنی...
غایب
  پاسخ
تشکر شده توسط : olampiad
#6
کسی پاکش نکرده، خودش پاک شده... Huh
بگذریم


olampiad، اون فرم لاگینش باگ SQLinjection داره، من تونستم وارد پنل بشم
احتمالاً فرم register ش هم باگهای زیادی باید داشته باشه

PM ت رو چک کن
وبلاگ: Yousha.Blog.ir

صدام: "اگر با ارتش شاه ایران طرف بودیم، یک ماهه جنگ را می بردیم"
http://gulfnews.com/opinion/thinkers/ira...i-1.500997
  پاسخ
تشکر شده توسط : undefined olampiad ayoubsys
#7
دوستان تشکر فراوان بابت راهنمایی ها
من برای sqlinjection دارم از pdo استفاده میکنم و تو pdo هم از preapre استفاده میکنم.
برای این کار راه حلی اگه سراغ دارین معرفی کنین.
ممنون بابت راهنمایی ها و توجهتون به پست
  پاسخ
تشکر شده توسط :


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان