نکات امنیتی سایت وپایگاه داده
چهارشنبه, ۲۹ آذر ۱۳۹۶، ۰۹:۲۶ ب.ظ
امروزه اکثر نفوذ به سایت ها و افشای اطلاعات کابران از طریق نفوذ خالص به DATABASE انجام میشود.
به این علت و اهمیت اطلاعات کابران یا کالاهای شرکت ها یا... درباره باگ های Database و سایت بحث میکنیم.در ادامه برخی باگ های معروف Sql , Lfi , Lfi را بررسی می کنیم.
SQL
این باگ به علت محدود نکردن ورودی ها است.
یعنی طراح سایت یا پایگاه داده برای وارد کردن اطلاعات محدودیتی اعمال نکرده است تا از ورود کدهای مخرب یا اکسپلوریت ها جلوگیری کنند. بهتر است برای جلوگیری از تزریق کدهای مخرب محدودیت های مثل : نهایت کاراکتر وارد شده 100 حرف یا فقط استفاده از حروف پارسی و... را اعمال کرد.
Lfi
Local File Inclusion یک نوع دسترسی برای مشاهده فایل های سرور مورد نظر رو به ما میده این باگ بیشتر در اشتباهات برنامه نویسی در استفاده از توابع require یا Include رخ میده.
با استفاده از این باگ میتوان آنها را تبدیل به اجرای دستورات از راه دور کرد. یا میتوان با استفاده از این باگ Quire های سایت یا دیتا بیس را مشاهده کرد.
با این باگ میتوان فایل های مهم سیستمی یا فایل های Config را مشاهده کرد.
به زودی روش جلوگیری از این باگ و کد های Php اش را قرار میدم.
Rfi
این باگ با بی احتیاطی برنامه نویس در استفاده از تابع Include به وجود میاد.
در اصل این توابع فایل یا صفخه ای را فراخوانی میکنند، مه اگر روی این درخواست کنترولی نباشه میتوانه باگ های lfi یا Rfi را به وجود بیاره.