SQL Injection

کاهش حملات SQL Injection ما معتقد هستیم که برنامه نویسان معمولا تصور ورودی های شگفت انگیز در فرم هایشان را نخواهند داشت اما کارشناسان امنیت بدنبال وقوع تزریق این ورودی ها می باشند. به همین منظور سه دیدگاه موجود در ارتباط با این حمله را در زیر بررسی می کنیم پاکسازی ورودی قطعا ضروری می[…]

Microsoft IIS tilde directory enumeration

امکان آن وجود دارد که فایل ها و دایرکتوری هایی که با نام کوتاه توسط چندین نسخه از Microsoft IIS پشتیبانی می شوند (filename 8.3)، توسط نرم افزار و یا با دانش پیاده سازی این استاندارد تشخیص داده شوند. برای مثال امکان آن وجود دارد که تمامی اسامی کوتاهی که دارای aspx extension می باشند[…]

HTML form without CSRF protection

این حمله (Cross-Site Request Forgery) زمانی اتفاق می افتد که وب سایت، ایمیل، بلاگ، چت و یا برنامه مخربی، کاربر را از یک سایت مورد اعتمادی که کاربر در آن اعتبار سنجی شده و داخل آن می باشد در همان زمان مجبور به انتقال به وب سایت دیگری کند. تاثیر حمله وابستگی بسیاری به آسیب[…]

File Upload XSS

صفحه ای که دارای این خطا می باشد به کاربران اجازه می دهد که در کنار آپلود فایل، اسکریپت HTML نیز آپلود گردد. هکر امکان تزریق Javascript, VBScript, ActiveX, HTML و یا Flash رادر ورودی دارد که در نهایت قادر است session cookie کاربر را دزدیده و بر حساب کاربری او تا زمان استفاده از[…]

File Upload

صفحه ای که دارای این خطا می باشد به کاربران اجازه می دهد که فایلی را بر روی سرور آپلود نمایند. بسیاری از وب سرورها اجازه آپلود فایلهای متعددی را همانند (عکس، مالتی مدیا، آهنگ و …) به کاربران می دهند. آپلود این فایلها بدون اعتبار سنجی مناسب ریسک بالایی را برای سرور در پی[…]

File inclusion

این حمله به هکرها اجازه می دهد تا از طریق ورودی اطلاعاتی کاربران – بدون فیلترینگ مناسب – اسکریپت خود را در وب سرور تزریق نمایند. امکان آن وجود دارد که حمله کننده با مجوزهای وب سرور، فایلی محلی یا از راه دور همراه با اسکریپت های دلخواه اجرا کند. برای مثال در زبان PHP[…]

Email Injection

تزریق ایمیل آسیب پذیری امنیتی می باشد که به هکر امکان ارسال ایمیل از طریق سرور قربانی را فراهم می سازد. هکر های ارسال کننده هرز نامه از این طریق قادر می باشند که بدون مشخص شدن هویت ارسال کننده از طریق سرور بصورت دسته ای و در حجم بالا ایمیل ارسال نمایند. یکی از[…]

Directory Traversal Attacks

این نوع از آسیب پذیری با نام “حمله های پیمایش دایرکتوری” امکان دسترسی به دایرکتوری های محدود شده از طرف مدیر سرور و همچنین اجرای دستور هایی خارج از دایرکتوری ریشه وب سرور را برای هکر فراهم می سازد. وب سرور ها دارای دو سطح اصلی از مکانیزم های امنیتی می باشند: –  لیست های[…]

Directory Listing

وب سرور به صورتی تنظیم گردیده که تمامی فایل های مرتبط با دایرکتوری را به کاربر نهایی نمایش می دهد. این روش متاسفانه در بین برنامه نویسان وب سایت سهوا بسیار دیده شده است و به دلیل انکه امکان آن می باشد بسیاری از فایل های درون دایرکتوری در صفحات وب سایت وجود نداشته باشند،[…]