/
  • امنیت این جامعه مجازی (همه ی دوستان کمکم کنن: منتظر تجربیات همتون هستم)

  • ارسال پاسخ   امتیاز موضوع:
    • 0 رأی - میانگین امیتازات: 0
    • 1
    • 2
    • 3
    • 4
    • 5

    حالت موضوعی | حالت خطی امنیت این جامعه مجازی (همه ی دوستان کمکم کنن: منتظر تجربیات همتون هستم)
    نویسنده پیام
    olampiad آفلاین
    عضو
    ***

    ارسال‌ها: 91
    تاریخ عضویت: ۱۳۹۳ مرداد ۱۳
    اعتبار: 0
    تشکرها : 6
    ( 6 تشکر در 6 ارسال )
    ارسال: #1
    امنیت این جامعه مجازی (همه ی دوستان کمکم کنن: منتظر تجربیات همتون هستم)
    سلام و خسته نباشید به دوستان عزیز
    به این آدرس ی سری بزنید.
    http://www.zncms.ir
    الآن دو ماهی میشه که دارم روی این جامعه مجازی کار میکنم بالاخره تموم شد.این جامعه مجازی در مورد صنعت سنگ هستش.
    میخوام از تجربیات همه ی شما دوستان تو امنیت این پروژه کمک بگیرم.
    ابتدا من بگم که چ کارایی رو برای امنیت این پروژه انجام دادم.

    1- برای جلوگیری از حملات sql_injection از pdo استفاده کردم و تمام کوئری هام رو با استفاده از prepare اجرا کردم.
    به نظرم برای جلوگیری از حملات sqlinjection همین قدر کافیه.
    آیا راه حل دیگری به ذهنتان میرسد.

    2-برای جلوگیری از حملات xss و امسال اینها از توابع زیر استفاده کردم
    htmlentitis
    striptags
    htmlspeacialcharts
    و برای امنیت بیشتر از کتاب خانه ی htmlpruf استفاده کردم.

    3- برای جلوگیری از آپلود انواع شل به جای عکس از توابع gd استفاده کردم.
    نام تصاویر به طور رندوم عوض میکنم و کاربر به هیچ عنوان نمیتونه بعد از آپلود تصویر نام تصویر رو حدث بزنه.
    جلوی لیست دایرکتوری رو گرفتم و کاربر نمیتونه دایرکتوری هامو لیست کنه.

    4-از ckeditor استفاده کردم ولی نمیشه باهاش آپلود کرد. ی خطایی میده که دقیق نمیدونم چیه؟
    برای ckeditor از htmlpruf استفاده کردم.

    5- برای ثبت نام و کارهایی از این قبیل از کپتا استفاده کردم.
    کپتا رو خودم ساختم : ب نظرتون چطوریه؟ آیا حدث زدنش برای ربات ها آسونه یا نه؟

    6- کنترل خطارو تو کل برنامه صفر کردم
    7- url رو به طور کامل کنترل کردم.

    بخش ثبت نام و ورود چ مشکلاتی داره؟
    به نظرتون دیگه باید کجاهای پروژه رو چک کنم؟
    آیا چیزی از یادم رفته که چک نکرده باشم؟
    تو چنین پروژه هایی باید تمرکزم رو کجا بزارم؟
    چ پیشنهاداتی برای امنیت بیشتر و بهتر دارین؟

    ممنون از راهنمایی هاتون

    برای چک امنیت این پروژه نرم افزار یا سایتی سراغ دارید که با چک پروژه ، راه های نفوذ و باگهای امنیتی رو نشون بده؟
    ممنون
    (آخرین ویرایش در این ارسال: ۱۳۹۴ اسفند ۲۷ ۱۰:۴۸ عصر، توسط olampiad.)
    ۱۳۹۴ اسفند ۲۷ ۱۰:۰۸ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    olampiad آفلاین
    عضو
    ***

    ارسال‌ها: 91
    تاریخ عضویت: ۱۳۹۳ مرداد ۱۳
    اعتبار: 0
    تشکرها : 6
    ( 6 تشکر در 6 ارسال )
    ارسال: #2
    RE: امنیت این جامعه مجازی (همه ی دوستان کمکم کنن: منتظر تجربیات همتون هستم)
    کسی در این مورد حرفی نداره؟
    ۱۳۹۴ اسفند ۲۸ ۰۹:۱۲ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    undefined غایب
    احسان
    *******

    ارسال‌ها: 2,088
    تاریخ عضویت: ۱۳۸۸ مهر ۲۹
    اعتبار: 76
    تشکرها : 2005
    ( 2071 تشکر در 1219 ارسال )
    ارسال: #3
    RE: امنیت این جامعه مجازی (همه ی دوستان کمکم کنن: منتظر تجربیات همتون هستم)
    نقل قول: برای چک امنیت این پروژه نرم افزار یا سایتی سراغ دارید که با چک پروژه ، راه های نفوذ و باگهای امنیتی رو نشون بده؟

    Acunetix Web Vulnerability Scanner
    __________________________________________________________________________
    هر چیزی که در جستن آنی آنی...
    ۱۳۹۴ اسفند ۲۸ ۱۰:۰۹ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : olampiad
    Y.P.Y آفلاین
    ناظم کل
    *******

    ارسال‌ها: 2,783
    تاریخ عضویت: ۱۳۸۷ دي ۲۸
    اعتبار: 103
    تشکرها : 2181
    ( 4856 تشکر در 2220 ارسال )
    ارسال: #4
    RE: امنیت این جامعه مجازی (همه ی دوستان کمکم کنن: منتظر تجربیات همتون هستم)
    من اینجا یه پست داشتم Huh
    __________________________________________________________________________
    وبلاگ: Yousha.Blog.ir

    صدام: "اگر با ارتش شاه ایران طرف بودیم، یک ماهه جنگ را می بردیم"
    http://gulfnews.com/opinion/thinkers/ira...i-1.500997
    ۱۳۹۴ اسفند ۲۸ ۱۰:۲۷ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : olampiad
    undefined غایب
    احسان
    *******

    ارسال‌ها: 2,088
    تاریخ عضویت: ۱۳۸۸ مهر ۲۹
    اعتبار: 76
    تشکرها : 2005
    ( 2071 تشکر در 1219 ارسال )
    ارسال: #5
    RE: امنیت این جامعه مجازی (همه ی دوستان کمکم کنن: منتظر تجربیات همتون هستم)
    (۱۳۹۴ اسفند ۲۸ ۱۰:۲۷ عصر)Y.P.Y نوشته شده توسط:  من اینجا یه پست داشتم Huh

    پاك كردنش كار من نبوده! گفته باشم Undecided
    __________________________________________________________________________
    هر چیزی که در جستن آنی آنی...
    ۱۳۹۴ اسفند ۲۸ ۱۰:۳۸ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : olampiad
    Y.P.Y آفلاین
    ناظم کل
    *******

    ارسال‌ها: 2,783
    تاریخ عضویت: ۱۳۸۷ دي ۲۸
    اعتبار: 103
    تشکرها : 2181
    ( 4856 تشکر در 2220 ارسال )
    ارسال: #6
    RE: امنیت این جامعه مجازی (همه ی دوستان کمکم کنن: منتظر تجربیات همتون هستم)
    کسی پاکش نکرده، خودش پاک شده... Huh
    بگذریم


    olampiad، اون فرم لاگینش باگ SQLinjection داره، من تونستم وارد پنل بشم
    احتمالاً فرم register ش هم باگهای زیادی باید داشته باشه

    PM ت رو چک کن
    __________________________________________________________________________
    وبلاگ: Yousha.Blog.ir

    صدام: "اگر با ارتش شاه ایران طرف بودیم، یک ماهه جنگ را می بردیم"
    http://gulfnews.com/opinion/thinkers/ira...i-1.500997
    ۱۳۹۴ اسفند ۲۸ ۱۱:۳۲ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : undefined olampiad ayoubsys
    olampiad آفلاین
    عضو
    ***

    ارسال‌ها: 91
    تاریخ عضویت: ۱۳۹۳ مرداد ۱۳
    اعتبار: 0
    تشکرها : 6
    ( 6 تشکر در 6 ارسال )
    ارسال: #7
    RE: امنیت این جامعه مجازی (همه ی دوستان کمکم کنن: منتظر تجربیات همتون هستم)
    دوستان تشکر فراوان بابت راهنمایی ها
    من برای sqlinjection دارم از pdo استفاده میکنم و تو pdo هم از preapre استفاده میکنم.
    برای این کار راه حلی اگه سراغ دارین معرفی کنین.
    ممنون بابت راهنمایی ها و توجهتون به پست
    ۱۳۹۴ اسفند ۲۹ ۰۲:۳۱ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    « قدیمی تر | تازه‌ تر »

    ارسال پاسخ
    پرش به انجمن:


    کاربرانِ درحال بازدید از این موضوع: 1 مهمان
    IranPHP.org | تماس با ما | بازگشت به بالا | بازگشت به محتوا | بایگانی | پیوند سایتی RSS