• 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
مخفی نگه داشتن فرم لاگین!
#1
سلام، به نظرتون این موضوع به امنیت یک سایت کمک میکنه؟

فرم لاگین یا ورود به بخش مدیریت سایت یک ادرس منحصر به فرد باشه که ادرسش رو فقط مدیر یا مدیران سایت بدونن.
غایب
  پاسخ
تشکر شده توسط :
#2
من برای سایتهایی که خودم استفاده میکنم ، یعنی خودم تک مدیر هستم مثل ورک شاپم ، حتی آدرس صفحه لاگین رو یه چیزی گذاشتم که با Acunetix تست کردم/کردن ، پیداش نکردن .
خواستی بهم میگم چیهBig Grin

بهرحال میتونه یه ذره کار رو مشکل کنه واسه کرکر.
  پاسخ
تشکر شده توسط : undefined
#3
من همیشه اینکارو میکنم....اما دیروز دیدم با نرم افزار هویج راحت آدرس های ادمین رو تونست نشون بده....به فکر این افتادم که فرم هام از این به بعد حتی اسم هایی مثل admin, login,signin, user,member نداشته باشه توشBig Grin

رضا جان ممنون میشم بگی....به درد ما میخورهBig GrinBlush
بنده طعم ايمان را نمي چشد، تا اينكه دريابد آنچه اتفاق نيفتاده است نمي شد كه اتفاق بيفتد؛و آنچه شده و اتفاق افتاده است,نمي شد كه نشود و اتفاق نيفتد....حضرت علي(ع)
  پاسخ
تشکر شده توسط : undefined
#4
بر فرض که مخفی کردن موثر باشه،
موضوع همین عدم تشخیص صفحه هستش.
Acunetix که فقط سورس های ابشاری رو خوب اسکن میکنه. از دو تا معماری نرم افزار استفاده کنی فقط صفحه اول سایت رو تشخیص میده.
هویج رو نمیدونم.
غایب
  پاسخ
تشکر شده توسط : Reza
#5
سلام
به نظر من در حد خودش کمی امنیت ایجاد میکنه ، و حتی در جایی خونده بودم که چنتا صفحه ادمین قلابی هم درست کنید و آی پی کسانی که اونجا شیطونی می کنن قفل کنید Cool
  پاسخ
تشکر شده توسط : farhadfery
#6
نقل قول:رضا جان ممنون میشم بگی....به درد ما میخوره
هویج بزن .Tongue

البته احسان جان من یه نظر دیگه دارم که البته کسی پیاده اش نمیکنهDodgy
اینکه یه فاکتور دیگه هم اضافه کنیم .
الان ما یه نام کاربری ، یه کلمه عبور و یک کپچا داریم.
حالا بیاییم کلمه عبور دوم هم اضافه کنیم .
یعنی کاربر باید سه تا اطلاعات مجزا برای دسترسی به اکانت داشته باشه ، اینطوری کار کرکر سختر میشه .
یا مثلاً اگر کلمه عبور دوم رو نزد ، از user دیتابیسی استفاده کنیم که فقط select داشته باشه .Cool
  پاسخ
تشکر شده توسط :
#7
(۱۳۹۱ شهریور ۱۵, ۰۱:۴۴ ق.ظ)Reza نوشته: یا مثلاً اگر کلمه عبور دوم رو نزد ، از user دیتابیسی استفاده کنیم که فقط select داشته باشه .Cool
لطف میکنید در مورد این توضیح بدید ... متوجه نشدم .
آرام باش ؛ توكل كن ؛ تفكر كن و سپس آستينها را بالا بزن , آنگاه دستان خداوند را خواهي ديد كه زودتر از تو دست به كار شده است.امام علي عليه السلام.
  پاسخ
تشکر شده توسط :
#8
نقل قول:لطف میکنید در مورد این توضیح بدید ... متوجه نشدم .
وقتی شما یه یوز تعریف میکنی واسه ارتباط به دیتابیس از قسمت privilege ، محدوده فعالیتش رو میتونی تعیین کنی .
  پاسخ
تشکر شده توسط : pary_daryayi
#9
دوستان شما پنل مدیریت رو میبرید رو یه ساب دامین دیگه یا تو همون دامین استفاده میکنید؟
من معمولاً یه sub domain جدا براش میسازم، بهمراه meta تگ های:
کد:
<meta name="googlebot" content="noindex" />
<meta name="googlebot" content="nosnippet" />
هر که با مرغ هوا دوست شود - خوابش آرامترین خواب جهان خواهد بود.
  پاسخ
تشکر شده توسط :
#10
نقل قول:سلام
به نظر من در حد خودش کمی امنیت ایجاد میکنه ، و حتی در جایی خونده بودم که چنتا صفحه ادمین قلابی هم درست کنید و آی پی کسانی که اونجا شیطونی می کنن قفل کنید
تشخیص اینکه صفحه قلابیه کار راحتیه ، کافیه مدت زمانی که یک درخواست فرستاده میشه و جواب میاد رو بررسی کرد ، اگه کم بود یعنی هیچ پردازشی روش انجام نمیشه (مثل هش کردن که زمانبر هست) ، این یعنی Tongue
البته میشه فرستادش توی یه حلقه for یه چرخی بزنه تاسرش گیج برهBig Grin
اما خب راه حل اصولی ، پیاده سازی امنیت اسکریپت و همچنین استفاده از یک کپچای خفن هست .

@ حمید:
وقتی شما آدرس صفحه لاگین/مدیریت رو هیچ جای سورس سایت نذارید ، گوگل پیداش نمیکنه ، چه برسه بخواد ایندکس کنه !

همچنین فایل robots.txt رو ببینی ، خیلی چیزا دستگیرت میشه Big Grin
  پاسخ
تشکر شده توسط :


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان