Print

OWASP

OWASP سازمانی بین المللی و غیر انتفاعی می باشد که در راستای ایمن سازی طراحی، پیاده سازی، توسعه و تست پروژه های نرم افزاری فعالیت می کند. تمامی مستندات، ابزارها و چک لیست های مندرج در سایت رسمی آن سازمان رایگان بوده و در جهت برطرف نمودن آسیب پذیری های امنیتی متداول در تمامی قالب[…]

LinkedInFacebookTwitter
wordpress-security

امنیت ورد پرس – نکات مهم در خصوص ایمنی ورد پرس

 سامانه مدیریت محتوای ورد پرس در ابتدای امر سامانه ای بدنام در زمینه امنیت می باشد که البته بخاطر عدم تجربه کافی توسعه دهندگان ورد پرس در ایجاد و یا تغییر در پلاگین های ورد پرس نیز می باشد. از هر ۵ ورد پرس ایجاد شده در سطح اینترنت، یکی از آنها قربانی حملات هکر[…]

LinkedInFacebookTwitter

SQL Injection

کاهش حملات SQL Injection ما معتقد هستیم که برنامه نویسان معمولا تصور ورودی های شگفت انگیز در فرم هایشان را نخواهند داشت اما کارشناسان امنیت بدنبال وقوع تزریق این ورودی ها می باشند. به همین منظور سه دیدگاه موجود در ارتباط با این حمله را در زیر بررسی می کنیم پاکسازی ورودی قطعا ضروری می[…]

LinkedInFacebookTwitter

OPTION Method is enabled

این متد امکان افشای اطلاعات مهمی که برای هکرها مفید است را فراهم می کند. پیشنهاد می گردد که این متد بر روی وب سرور غیر فعال گردد. منبع:  Testing for HTTP Methods and XST – OWASP-CM-008

LinkedInFacebookTwitter

Microsoft IIS tilde directory enumeration

امکان آن وجود دارد که فایل ها و دایرکتوری هایی که با نام کوتاه توسط چندین نسخه از Microsoft IIS پشتیبانی می شوند (filename 8.3)، توسط نرم افزار و یا با دانش پیاده سازی این استاندارد تشخیص داده شوند. برای مثال امکان آن وجود دارد که تمامی اسامی کوتاهی که دارای aspx extension می باشند[…]

LinkedInFacebookTwitter

HTML form without CSRF protection

این حمله (Cross-Site Request Forgery) زمانی اتفاق می افتد که وب سایت، ایمیل، بلاگ، چت و یا برنامه مخربی، کاربر را از یک سایت مورد اعتمادی که کاربر در آن اعتبار سنجی شده و داخل آن می باشد در همان زمان مجبور به انتقال به وب سایت دیگری کند. تاثیر حمله وابستگی بسیاری به آسیب[…]

LinkedInFacebookTwitter

File Upload XSS

صفحه ای که دارای این خطا می باشد به کاربران اجازه می دهد که در کنار آپلود فایل، اسکریپت HTML نیز آپلود گردد. هکر امکان تزریق Javascript, VBScript, ActiveX, HTML و یا Flash رادر ورودی دارد که در نهایت قادر است session cookie کاربر را دزدیده و بر حساب کاربری او تا زمان استفاده از[…]

LinkedInFacebookTwitter

File Upload

صفحه ای که دارای این خطا می باشد به کاربران اجازه می دهد که فایلی را بر روی سرور آپلود نمایند. بسیاری از وب سرورها اجازه آپلود فایلهای متعددی را همانند (عکس، مالتی مدیا، آهنگ و …) به کاربران می دهند. آپلود این فایلها بدون اعتبار سنجی مناسب ریسک بالایی را برای سرور در پی[…]

LinkedInFacebookTwitter

File inclusion

این حمله به هکرها اجازه می دهد تا از طریق ورودی اطلاعاتی کاربران – بدون فیلترینگ مناسب – اسکریپت خود را در وب سرور تزریق نمایند. امکان آن وجود دارد که حمله کننده با مجوزهای وب سرور، فایلی محلی یا از راه دور همراه با اسکریپت های دلخواه اجرا کند. برای مثال در زبان PHP[…]

LinkedInFacebookTwitter