• 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
نیاز به اسکن امنیتی برنامهء وب من
#1
یه سیستم رجیستر و لاگین نوشته بودم.

این آدرسش: www.hamidreza-mz.tk/reg8log/

واسه نمونه و تست گذاشتم.

میخوام اسکن امنیتی و تست نفوذ بشه.

کسی میتونه؟

حالا چه خودکار چه دستی.

ضمنا این برنامه بازمتن است.
بنابراین میتونید کد منبعش رو هم دریافت و بررسی کنید: http://www.hamidreza-mz.tk/files/reg8log-v1.8.zip
  پاسخ
تشکر شده توسط : nimaee
#2
اصن کد میبینم هنوز indentهاش درست نیستن کهیر میزنم... .
  پاسخ
تشکر شده توسط :
#3
قبول دارم از نظر سازماندهی کد و مهندسی نرم افزار چیز زیادی نداره، ولی از نظر الگوریتم و امنیت و بعضی ویژگیها (فقط گزینه های کانفیگش رو نگاه کنید ببینید چقدر کانفیگ داره و چه چیزهایی رو درنظر گرفته) میتونم بگم استثناییه. منتها این موارد رو کمتر کسی اصلا دانش و بینشش رو داره که بتونه بخونه و متوجه بشه.
ولی ساختار کد و شیء گرایی و MVC و بقول شما indent یه چیزیه خب از نظر ظاهری کاملا مشخصه که داره یا نداره (حالا بگذریم از جزییاتش).

منم بعکس چون از نظر الگوریتم و امنیت و منطق و اینها قوی هستم، اکثر برنامه ها رو میبینم خوشم نمیاد و گاهی تعجب هم میکنم از اینکه اینقدر مردم به سطح ظاهر و مرتب کردن و سازماندهی، حالا چه گرافیک و زیبایی اینترفیس و چه ظاهر و مرتب بودن و سازماندهی کد، اهمیت میدن و روش تمرکز میکنن اما از اونور مثلا الگوریتم و منطق و امنیت درست و حسابی اصلا بلد نیستن و براحتی بیخیال اینا میشن (خیلی وقتا که اصلا متوجه واقعیت نیستن در این زمینه).

خب خوبه اینا هردوش با هم باشه.
ولی خب آدم نمیرسه، وقت و انرژی کمه، یادگیری این مواردی هم که من روش حساسم دشوار و زمانبر هست. خیلی وسیعه و ظرافت و پیچیدگی زیادی داره.
حالا من ترجیح دادم و بنظرم اولویت با این بود که اول در الگوریتم و امنیت و غیره به سطح بالایی برسم. ولی بقیهء مردم ظاهرا اینطور نیستن و ترجیح میدن به عمق و گسترهء این دنیا وارد نشن و صرفا در سطحی که برنامشون رو راه بندازن و ظاهرا هم و به خیال خودشون هم بقدر کافی خوب باشه و کار کنه قانع میشن، و بجاش میرن دنبال مسائل ساختاری برنامه نویسی در سطح بالاتر.
  پاسخ
تشکر شده توسط :
#4
خب ما میشه از شما خواهش کنیم برای ما انجا کلاس امینت و منطق بزاری استاد عزیز تا دعات کنیم ؟؟؟؟ AngelAngelAngelAngelAngelAngel
  پاسخ
تشکر شده توسط : behz4d
#5
یادگیری و آپدیت و کار برنامه نویسی دیگه وقتی برای یاد دادن کامل و جدی به دیگران نمیذاره.
اونم بخوای از صفر تا 100 یاد بدی.
من خودم الان دو جا کار میکنم. همین الانم سر کار هستم! صبح تا بعد از ظهر هم سرکار بودم که به شما جواب میدادم.
البته کارم در زمینهء برنامه نویسی نیست.
بهرحال وقت ندارم.
وقت اضافه هم داشته باشم برام خیلی ارزشمنده و باید برای پیشرفت علمی و آیندهء مالی خودم ازش استفاده کنم.
فقط در یک صورت ممکنه آموزش بدم؛ اونم وقتی که ازش پول دربیاد. اینطوری میتونم کار و بار خودم رو با آموزش جایگزین کنم.
  پاسخ
تشکر شده توسط :
#6
درسته ببخشید ممنونم که جواب ما رو میدید در هر شرایطی
  پاسخ
تشکر شده توسط : behz4d
#7
دوست گرامی،
هدفم بی احترامی به شما نیست، اما شما خداوندگار امنیت هم که باشی، هر کس این کد رو ببینه، بدون شک میفهمه که این کد کار یک فرد حرفه ای نیست... .
توی برنامه همه چیز مهمه، همونقدر که امنیت مهمه، طرز نوشتن برنامه هم مهمه... من صحبت از OO یا MVC نکردم، اما استفاده از توابع و indentکردن درست کد جزو ابتدایی ترین کارهاییه که باید انجام بشه... . شما حتی این تابعی که 'ي' رو با 'ی' جایگزین میکنه رو هم از یک تابع ساده استفاده نکردی و در هر صفحه بارها تکرارش کردید... .

کد رو درست بنویسید تا بتونیم از لحاظ امنیتی هم چکش کنیم و با هم یه چیزه جدید هم شاید یاد گرفتیم، اینطوری اصلا ارزش وقت گذاشتن نداره.

نقل قول:درسته ببخشید ممنونم که جواب ما رو میدید در هر شرایطی
خــــــــــــــــــــــــــــــــوب بود Big Grin
  پاسخ
تشکر شده توسط : undefined
#8
(۱۳۹۲ آبان ۱۶, ۰۱:۴۰ ب.ظ)behz4d نوشته: دوست گرامی،
هدفم بی احترامی به شما نیست، اما شما خداوندگار امنیت هم که باشی، هر کس این کد رو ببینه، بدون شک میفهمه که این کد کار یک فرد حرفه ای نیست... .
توی برنامه همه چیز مهمه، همونقدر که امنیت مهمه، طرز نوشتن برنامه هم مهمه... من صحبت از OO یا MVC نکردم، اما استفاده از توابع و indentکردن درست کد جزو ابتدایی ترین کارهاییه که باید انجام بشه... . شما حتی این تابعی که 'ي' رو با 'ی' جایگزین میکنه رو هم از یک تابع ساده استفاده نکردی و در هر صفحه بارها تکرارش کردید... .

کد رو درست بنویسید تا بتونیم از لحاظ امنیتی هم چکش کنیم و با هم یه چیزه جدید هم شاید یاد گرفتیم، اینطوری اصلا ارزش وقت گذاشتن نداره.
خب منم که ادعا نکردم توی همه چیز حرفه ایم.
نه توی متدهای توسعه نرم افزار و شیء گرایی و MVC حرفه ای نیستم، یک دلیلش اینکه تجربه و نیاز عملی چندانی نداشتم تاحالا.
ولی در امنیت و رمزنگاری تخصص خوبی دارم.
در الگوریتم و مخلفات دیگر هم قوی هستم.
اتفاقا منم گفتم که همهء اینا باید با هم باشه. نقل از پست قبلیم: « خب خوبه اینا هردوش با هم باشه».
ولی این علم و رشته اینقدر گسترده و پیچیده است که من یکی هنوز وقت نکردم همه چیز رو یاد بگیرم یا تجربه کنم (بخصوص این بخشها که میگید بیشتر تجربی هستن بنظرم).
اما این حرف هم که بگید مثلا من چون کد تمیز و با روشهای روز نمینویسم، پس برنامم امنیت نداره، ارزش نداره، درست کار نمیکنه، فکر نمیکنم حرف درستی باشه. من از اولش هم در حد هدفهای خودم و نیازها و علاقمندی شخصی دنبال اینها بود. الانم تقریبا هر برنامه ای بخوام بالاخره میتونم واسه خودم درست کنم. شاید یخورده طولانی تر و سخت تر بشه، شاید باگهاش زیادتر بشه، ولی اون دانش و مهارت برجسته در زمینه های دیگه باعث میشه از جهات دیگری هم از خیلی برنامه های خیلی از دیگران برتری داشته باشه (از اون جهات خاص که من توش تخصص خوبی دارم)، و چه بسا در جریان کار وقتی نیاز زیادتری پیدا کنم دنبال یادگیری و استفاده از متدهای پیشرفته تر و تمیزتر کد نوشتن هم برم و موفق بشم. تا اینجا در این زمینه فقط درحد حداقلی ضروری کار کردم چون به دلایلی بیشتر عجله و تمرکز و اولویت داشتم که این برنامه رو زودتر به یک سطح کامل و کاربردی (برای خودم برسونم). بعدا ممکنه لازم بشه یا مفید ببینم وقت داشته باشم روی تمیزتر کردن کدش و استفاده از متدهای پیشرفته تر در برنامه نویسی کار کنم.

حالا شما میگی کد رو نمیتونی بخونی، ولی اسکنری سرویس آنلاینی چیزی سراغ داری و میتونی انجام بدی یا نه؟

حالا من این صحبت رو پیش کشیدم دلیل اصیلش همون بود که در متنش گفتم.
یعنی همیشه میبینم بیشتر افراد روی این مسائل سطح سازماندهی کد خیلی بیشتر تمرکز میکنن، و در مسائل امنیت و الگوریتم و بطور کلی دانشهای پایه ضعیف هستن و نقص های اساسی دارن.
چون نظر شما رو هم اگر بخوایم بگیریم، باید در همهء این پارامترها بصورت متعادل و برابر باشن.
ولی در واقعیت اینطور نیست.
شاید یک دلیلش این باشه که مسائلی که بنده عرض میکنم در سطح ظاهری کمتر مشخص هستن، و بنابراین کمتر بهشون توجه میشه.
باز اینم در پست خودم گفتم.
نمیدونم از کجای حرفای بنده ایراد دارید.
تعریف حرفه ای فقط این نیست که کدش تمیز و ساختار یافته باشه.
خیلی پارامترهای دیگر هم هست.
تازه بنظر من مباحث الگوریتم و امنیت و بطور کلی دانش و توانایی های پایه رو باید اول آدم تکمیل کنه و مهمتر هستن.
چون بدون رعایت جدی تمیزی در سطح کد هم میشه خیلی برنامه ها رو با موفقیت نوشت بهرحال. گرچه نمیگم درسته، اما میشه.
الگوریتم و امنیت و اینها برای اینکه یه برنامه ای بصورت واقعی دربیاد و کار کنه و قابل استفاده باشه 100% ضروری هستن، چون چیز لازم و کافی است که کامپیوتر باید عملا اجرا کنه.
اما indent و شیء گرایی و MVC و این حرفا در سطح مدیریت کد برای برنامه نویسیه، برای بهینه کردن سرعت و راحتی برنامه نویسی و نگهداری و تغییر و توسعه های آیندهء کد، که اهمیتش هم در برنامه های نسبتا بزرگ بیشتر میشه تا برسه به برنامه ها واقعا بزرگ که اونوقت تازه میشه گفت درحد تقریبا ضروری میرسه.
پس این صحبت رو نکن که من مثلا اینا رو رعایت نمیکنم نمیتونم برنامه بنویسم. نه همچین چیزی نیست عزیزم. برنامه مینویسم، تقریبا هرچی هم بخوام مینویسم، کار هم میکنه، خوب هم کار میکنه، و خیلی ها حتی به گرد پام هم نمیتونن برسن در خیلی از پارامترها، بخصوص امنیت و رمزنگاری که درش تخصص ویژه دارم.
ما دیگه خودمون اطلاع اینقدر داریم و نمونه هاش رو دیدیم که این چیزا رو بدونیم عزیز Wink
  پاسخ
تشکر شده توسط :
#9
تو گیت هاپ سرچ کن sqlmap
  پاسخ
تشکر شده توسط : behz4d
#10
(۱۳۹۲ آبان ۱۶, ۰۴:۰۳ ب.ظ)zoghal نوشته: تو گیت هاپ سرچ کن sqlmap

چرا نرم افزار خارجی؟ Big Grin
Havij هم گوگل میتونی بکنی، UI هم داره + اینکه ایرانیه، فقط نسخه PRO رایگان نیست... .
  پاسخ
تشکر شده توسط :


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان