• 1 رای - 5 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
امنیت با سرعت رابطه عکس دارد
#1
با سلام و خسته نباشید خدمت دوستان
من تازه با انجمن اشنا شدم و می خوام تو این انجمن فعالیت کنم اسم من هم دیفنس هست و چون یک هکر حرفه ای هستم فقط امنیت در مقابل PI رو به شما آموزش می دم
هرگونه سوالی چیزی داشتید در ادامه همین پست بپرسید ...
Blush

بخش اول :
مقدمه:
پی اچ پی یک زبان برنامه نویسی هست که بیشتر بر مبنای زبان های سی می باشد و چون به زبان های پر طرفدار خیلی نزدیکه کاربرد زیادی داره و همچنین از سرعت خوبی بر خودار هست
---
یک مسئله مهمی که این وسط وجود داره بحث امنیت و سرعت هست که در بین کاربران پی اچ پی نویس شایع هست
---

(منیت با سرعت رابطه عکس دارد)

امنیت با سرعت رابطه عکس دارد چرا که هر چه سرعت بالا باشد امنیت پایین هست و امنیت پایین باشد سرعت بالا هست به این مثال دقت کنید تا منظورم و متوجه بشید

مثال:
فرض کنید یک خانه داریم در اون طرف رود و می خواهیم از این طرف رود خانه به اون طرف رود خانه بریم .
اگر قرار باشد از روی پل به اون طرف رود خانه بریم باید زمان را افزایش بدیم تا به پل برسیم و به اون طرف رود خانه برسیم و این باعث افزایش امنیت و سرعت پایین خواهد بود چرا که سرعت با زمان رابطه معکوس دارد

حال همان خانه را در این طرف رود خانه در نظر بگیرید؟
برای رفتن زمان کمتری نیاز هست تا پل را پیدا کنیم و به اون طرف رود خانهه بریم

طراحی سایت باید به گونه ای باشد که ما ضمن این که بتونیم PI رو در برنامه تشخیص بدیم بتونیم جلوی اون ها رو بگیریم
البته بیشتر هکر ها از PI برای نفوذ به صفحات وب استفاده می کنند
در این مبحث می خوام شما دوستان را با مبحث PI آشنا کنم و این که چگونه بتونیم امنیت و سرعت را در یک کفه ترازو قرار دهیم و اون ها رو بهینه تر کنیم تا نه مشکل سرعت داشته باشیم و نه مشکل امنیت

تا حالا شده اسم سایتتون و بزنید و بعد براتون بیاد سایت هک شده یا یک چیزهایی شبیه این
اول از همه این که سایت ما باید قابلیت ذخیره ای پی رو داشته باشه برای این که فضای کمی از ذخیره ای پی داشته باشیم توصیه می کنم از ای پی تو لانگ استفاده کنید تا حجم کمی رو اشغال کنیم
---
از تمامی در خواست ها باید برای خودمون لوگ طراحی کنیم و لوگ های مشکوک رو بررسی کنیم
بنده خودم سرور دارم و وقتی گزارش ها رو می بینم ... می بینم که سایت ما رو به ربات بستن و با کلی حملات می خواستن سایت ما هک کنن ولی من با خودم می گم این قدر هک کنید تا حالتون از هک به هم بخوره
ولی این نکته رو فراموش نکنید بهینه کردن متغیرها خیلی مهمه یعنی قبل از این که متغیر ها رو چک بکنید بهتره اون ها رو بهینه کنید در غیر این صورت می شه تو عرض یک ثانیه 500 میلون اطلاعات علکی تو بانک اطلاعات ریخت که این کار باعث کاهش سرعت می شه یا حتی می تونن سایت و ویرایش کنن ...
---
این نکته رو فراموش نکنید امنیت هیچ وقت تضمین شده نیست ولی ما امنیت روی وب سایت ها طراحی می کنیم که بتونیم جلوی هکر های مبتدی رو بگیریم هکر های حرفه ای همیشه یک قدم از من و تو جلوترن
---

مقادیر پارامتریک:
سعی کنید از مقادیر پارامتریک زیاد استفاده کنید یا اون ها رو بهینه تر کنید
مقادیر پارامتریک با مقادیر پارامتری فرق می کنن دوستان به این نکته توجه کنید یکی از مسائل سقوط برنامه نویسی و موفق شدن هکر های PI هم به همین حاطر هست و خیلی از دوستان هم به این نکته توجه نمی کنن
اگه دوستان می خواد واقعاً کار من و ببینه یک سایت ساده با متد گت یا پست طراحی کنه لینکش و بهم بده تا بعداً سایت رو براتون هک کنم
به موقع خودش هک هم اموزش می دم
فقط این نکته رو به یاد داشته باشید اگر استقبال کاربران از این مطالب زیاد بود هک پی اچ پی رو هم یاد می دم تا سایت های بهینه تری بتونید طراحی کنید
Designed By H.E.R.O.E.S team
  پاسخ
تشکر شده توسط : webnevesht
#2
سلام. ممنون از آموزشتون. من خودم php رو اندکی بلدم ولی توی زمینه امنیت خیلی تعطیلم. امیدوار از این جور آموزش هایی که شما میدید زیاد بشه و دوستان بتونن پیشرفت کنن.


پ.ن: در ضمن من توی حرفاتون معنی این کلمات زیر رو متوجه نشدم، میشه بیشتر توضیح بدید؟
PI
ای پی تو لانگ
سعی کنید از مقادیر پارامتریک زیاد استفاده کنید یا اون ها رو بهینه تر کنید
  پاسخ
تشکر شده توسط :
#3
(۱۳۹۳ مهر ۰۳, ۰۷:۰۹ ب.ظ)behnamy نوشته: سلام. ممنون از آموزشتون. من خودم php رو اندکی بلدم ولی توی زمینه امنیت خیلی تعطیلم. امیدوار از این جور آموزش هایی که شما میدید زیاد بشه و دوستان بتونن پیشرفت کنن.


پ.ن: در ضمن من توی حرفاتون معنی این کلمات زیر رو متوجه نشدم، میشه بیشتر توضیح بدید؟
PI
ای پی تو لانگ
سعی کنید از مقادیر پارامتریک زیاد استفاده کنید یا اون ها رو بهینه تر کنید

با سلام و خسته نباشید خدمت دوست عزیزمون
در جواب به سوال هاتون باید عرض کنم که PI مخفف کلمه PHP Injection هست
یعنی کاربر می تونه به فایل پی اچ پی اطلاعات یا یکسری پکت هایی رو ارسال کنه که اب از اب تکون نخوره ولی کلی اطلاعات رو به دست بیاره
ای پی تو لانگ یعنی ای پی رو به مقدار لانگ تبدیل کنید(البته در بیشتر مواقع مهم نیست ولی اگر حجم یا فضا مهمه این کار و انجام بدید) و هر وقت که نیاز داشتید از مقدا لانگ اون ها رو برگردونید به مقدار ای پی
نیازی نیست که حتماً تابع تعریف کنید چون از قبل در پی اچ پی تعریف شده هست و فقط کافیه اون ها ر فراخوانی مثل آب خوردن
این هم یک نمونه کد
مثال:
echo ip2long('192.168.1.1')
حالا خروجی رو مشاهده کنید
حالا خروجی همین تابع رو در این تابع بریزید و خروجی رو مشاهده کنید
long2ip
کافیه مثل ای پی تو لانگ ازش استفاده کنید
---
برای قسمت سوم سوالتون باید عرض کنم که این مبحث و می خوام به موقع توضیح بدم اگر صبر کنید اون موقع توضیح می دم چون اگه الان بگم یکم گیج می شید

در این مبحث می خوام قبل این که وارد این مسئله بشم که پارامتریک چیه یک توضیح مختصر بدم
نکته: مای اس کیو ال یک باگی داره که به باگ اس کیو ال ابنجکشن معروفه و بیشتر به این خاطر باگش معروف هست که میشه یک سری دستورات رو انیون کرد...(اطلاعات بیشتر به اموزش اس کیو ال در گوگل یک سر بزنید)

قبل از این که بریم وارد مبحث پارامتریک بشیم این نکته رو دقت کنید هکر هر طور که بخواد می تونه اطلاعات رو تزریق کنه حتی اگه اون طوری که می خواین باب میل شما نباشه
هکر ممکنه در یک تکسباکس به جای این که نام کاربری و وارد کنه یک کد اس کیو ال وارد کنه که اون کد اس کیو ال تو دیتابیس اجرا بشه ...
این ها فعلا مقدمه بود گفتم که یک اشنایی کوتاهی با پارامتریک داشته باشید ...
چون می خوام مبحث امنیت رو مطرح کنم می ترسم هنگ کنید و از ادامه کار دست بکشید ولی همه چی استپ بای استپ (قدم به قدم)
---

قبل از هر کاری می خوام یک توضیح مختصری در مورد بورت فورس بدم
===
بوت فورس نوعی اتک یا حمله هست که 100% تضمین شده هست و هکر در این کار موفق خواهد بود ولی خود بوت فورس زمان بر هست و به زمان زیادی احتیاج داره
مثلاً:
طول رمز اصلی : 8 کاراکتر بدون فاصله و عدد و کاراکتر ها هم با حروف کوچیک
رمز هایی که بررسی می شوند: فقط کاراکتر های کوچیک
تعداد کامپیوترها برای بورت فورس: 1 عدد
تعداد بررسی هر پسورد در هر ثانیه: 615 کاراکتر
مدت زمانی که طول می کشد پسورد پیدا شود چیزی حدود 11 سال هستش
یعنی کامپیوتر هکر خدا بیامرز باید 11 سال روشن باشه تا بتونه یک پسورد 8 کاراکتری که همش کوچیک هستن و پیدا کنه

===

ادامه این مبحث در این قسمت گذاشته می شود
http://forum.iranphp.org/Thread-PI-PHP-injection
  پاسخ
تشکر شده توسط :


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان