پیدا کردن باگ!! چجوری؟

[iroo]

سلام
چجوری باگ اسکریپت ها رو پیدا می کنن؟؟؟؟؟ میشه راهنمایی کنید که چطوری چک کنم که اسکرپت نوشته شده تو سط خودم یا اسکریپتی که دانلود کردم باگ داره یا نه؟

[yastheme]

سلام
چجوری باگ اسکریپت ها رو پیدا می کنن؟؟؟؟؟ میشه راهنمایی کنید که چطوری چک کنم که اسکرپت نوشته شده تو سط خودم یا اسکریپتی که دانلود کردم باگ داره یا نه؟

این سوالتون خیلی کلی هست و اگر آشنایی با php ندارد از پایه سوال قابل پاسخ نیست؛
جهت باگ زدایی باید مهارت و تخصص کافی در php داشته باشید؛اگر این اصل رو ندارید اصلا پیگیر این قضیه نشید و از یک فرد آشنا به php کمک بگیرید، الته این در خصوص اسکریپت های کوچک کاربرد دارد و در خصوص اسکریپتی مثلا هم اندازه وردپرس ؛ نیاز به صرف زمان بالا و چند ماهه و تخصصی می باشد.
(اصولا اگه باگ به راحتی قابل پیدا شدن و رفع شدن بود مطمئانا نویسندگان اون اسکریپت این کار رو انجام می دادند.)

متاسفانه مورد دیگه ای که خیلی دیده میشه سپردن سایت به تیم های ( مثلا) امنیتی می باشد که سایت را در نیم ساعت یا یک ساعت چک می کنند که باگ نداشته باشد ! که یکی از طنز ترین موارد امنیت است.

[delta]

این سوالتون خیلی کلی هست و اگر آشنایی با php ندارد از پایه سوال قابل پاسخ نیست؛
جهت باگ زدایی باید مهارت و تخصص کافی در php داشته باشید؛اگر این اصل رو ندارید اصلا پیگیر این قضیه نشید و از یک فرد آشنا به php کمک بگیرید، الته این در خصوص اسکریپت های کوچک کاربرد دارد و در خصوص اسکریپتی مثلا هم اندازه وردپرس ؛ نیاز به صرف زمان بالا و چند ماهه و تخصصی می باشد.
(اصولا اگه باگ به راحتی قابل پیدا شدن و رفع شدن بود مطمئانا نویسندگان اون اسکریپت این کار رو انجام می دادند.)

متاسفانه مورد دیگه ای که خیلی دیده میشه سپردن سایت به تیم های ( مثلا) امنیتی می باشد که سایت را در نیم ساعت یا یک ساعت چک می کنند که باگ نداشته باشد ! که یکی از طنز ترین موارد امنیت است.

ای گفتی یاسین جان خدایی سر این موضوع بارها فحش خوردم که بی سواد هستم!! طرف کمتر از یک ربع سایت مشتری رو چک کرده میگه امنیت خوبه و باگ و.. نداری!! فکر کنم فقط یک ویروس یابی میکنه اسم خودشون رو میزارند تیم امنیتی!!

[taha_2011]

ای گفتی یاسین جان خدایی سر این موضوع بارها فحش خوردم که بی سواد هستم!! طرف کمتر از یک ربع سایت مشتری رو چک کرده میگه امنیت خوبه و باگ و.. نداری!! فکر کنم فقط یک ویروس یابی میکنه اسم خودشون رو میزارند تیم امنیتی!!

یاسین !!!

[yastheme]

ای گفتی یاسین جان خدایی سر این موضوع بارها فحش خوردم که بی سواد هستم!! طرف کمتر از یک ربع سایت مشتری رو چک کرده میگه امنیت خوبه و باگ و.. نداری!! فکر کنم فقط یک ویروس یابی میکنه اسم خودشون رو میزارند تیم امنیتی!!

بله متاسفانه به همین صورت است.
مسعود هستم

[iroo]

این سوالتون خیلی کلی هست و اگر آشنایی با php ندارد از پایه سوال قابل پاسخ نیست؛
جهت باگ زدایی باید مهارت و تخصص کافی در php داشته باشید؛اگر این اصل رو ندارید اصلا پیگیر این قضیه نشید و از یک فرد آشنا به php کمک بگیرید، الته این در خصوص اسکریپت های کوچک کاربرد دارد و در خصوص اسکریپتی مثلا هم اندازه وردپرس ؛ نیاز به صرف زمان بالا و چند ماهه و تخصصی می باشد.
(اصولا اگه باگ به راحتی قابل پیدا شدن و رفع شدن بود مطمئانا نویسندگان اون اسکریپت این کار رو انجام می دادند.)

متاسفانه مورد دیگه ای که خیلی دیده میشه سپردن سایت به تیم های ( مثلا) امنیتی می باشد که سایت را در نیم ساعت یا یک ساعت چک می کنند که باگ نداشته باشد ! که یکی از طنز ترین موارد امنیت است.

php بلدم، ولی هر چقدر هم که بلد باشی نمیشه که! باید قدم به قدم کدهای اسکریپت رو چک کنی
این واقعا وقت گیره
اگه قراره این همه وقت بذاریم که یه اسکریپت می نویسیم


گفتم شاید یه نرم افزار خاصی داشته باشه واسه چک کردن باگ یا یه ترفند خاص!

مرسی

[secure_host]

متاسفانه مورد دیگه ای که خیلی دیده میشه سپردن سایت به تیم های ( مثلا) امنیتی می باشد که سایت را در نیم ساعت یا یک ساعت چک می کنند که باگ نداشته باشد ! که یکی از طنز ترین موارد امنیت است.

با سلام
الزاما برای همه تیم ها و شرکت ها این موضوع صادق نیست . مثلا ما پروژه های دریافتی را حداقل زمان بررسی 2 هفته است و موارد زیر بررسی می شود.

تست نفوذپذیری و بررسی نقاط آسیب پذیر وب سایت ها :

به طور کلی ما در این جا با سه روش برای پویش آسیب پذیری ها مواجه هستیم :
White box ، خواندن و آنالیز سورس کدهای برنامه و کشف آسیب پذیری ها با مطالعه تمام و کمال منابعی است که در دسترس کارشناس امنیت می باشد و او با آشنایی با زبان برنامه نویسی آن سیستم سعی خود را در کشف نقاط تاریک کد می نماید.
Black Box ، تست کور ، تستی که هیچ اطلاعاتی از نحوه ساختار برنامه در آن موجود نیست ، و نفوذ گر فقط با دانشی که از مواجهه با این برنامه ها به دستی آورده ، می تواند ساختاری مبهمی از برنامه مورد تست داشته باشد. (مباحث فازینگ در این مرحله مطرح میگردند )
Gary Box : تست نفوذ پذیری ای است که نفوذ گر منابع اولیه (همانند برنامه اصلی ) و نیز برخی از معرفی نامه ها و نوشتار های کمکی برنامه را در دست دارد .

که به طور کلی درایران روشهای اول و دوم بیشتر متداول می باشد و روش اول که به white box یا جعبه سفید معروف می باشد . که در این حالت source code ها توسط برنامه نویس در اختیار تیم تحلیل و بررسی قرار می گیرد و تیم تحلیل گر به ازای آنالیز کد ها به صورت خط به خط هزینه را برآورد می نماید و به شرکت و یا تیم برنامه نویسی اعلام می نماید که در صورت توافق قرار داد همکاری عقد می گردد . در این حالت مشخص می شود به عنوان مثال بررسی هر خط کد معادل 5000 هزار تومان می باشد . که در این حالت با توجه به بزرگی و گشتردگی کدها بطبع هزینه بررسی نیز بیشتر می شود. دراین قسمت تیم تحلیل گر مباحث مربوط به secure coding را نیز می تواند ارایه دهد که تصمیم گیری آن با تیم تحلیل گر می باشد.
که عمدتا این روش به source-code-auditing گفته می شود.

--- در حالت دوم که موسوم به BlackB0x یا جعبه سیاه می باشد . تیم تحلیل گر بدون دسترسی داشتن به Soruce Code ها اقدام به بررسی و پیاده سازی و شبیه سازی حملات متداول بر روی وب سایت مربوطه می نماید که در صورت حصول دسترسی و یا عدم حصول دسترسی مبلغی از شرکت طرف قرار داد دریافت می نماید که معمولا مبلغ دریافتی در صورت عدم دسترسی 70 % کل هزینه می باشد که با گرفتن دسترسی 100 % پول دریافت می گردد.

چون حالت سوم کمتر استفاده می گردد در صورت نیاز اعلام نمایید تا این مبحث را نیز توضیح دهم.

در تمام مراحل قرارداد کتبی بین دو طرف امضا می گردد. و تعهداتی نیز در این قرارداد لحاظ می گردد.

لذا جهت تست نفود پذیری نمی توان به صورت یکباره بر روی وب سایت شما نظر داد . زیرا نیازمند حداقل ۲ هفته کار مداوم می باشد . که این کار نیز هزینه خاص خودش را دارد.

باتشکر

[مینا-صیفی]

سلام
چجوری باگ اسکریپت ها رو پیدا می کنن؟؟؟؟؟ میشه راهنمایی کنید که چطوری چک کنم که اسکرپت نوشته شده تو سط خودم یا اسکریپتی که دانلود کردم باگ داره یا نه؟

دوست عزیز اولا برای تست امنیتی اسکریپت همانطور گفتند باید برنامه نویسی بلد باشید اونم در حد فوق حرفه ای .
دوم اینکه اگر این مهارت را ندارید باید به متخصص این کار بدید چک کنند امنیت کار انجام میدند که کسی را میشناسم که کارش خوب هست و حرفه ای fullsecurity.org & iranhack.org
من با اینا کار کردم و میشناسم خیلی وقته خوب هستند .
سوم اگر میخواید فقط در حد 60% از اسیب پذیر بودن اسکریپتتون متوجه بشید فقط جهت متوجه شدن نه حل ان میتوانید از اسکنر های امنیتی که معروف ترینش acunetix.com این هست را استفاده کنید ( البته اسکنر های امنیتی 100% نیستند یعنی تشخصی پیدا کردن بین 60 تا 70% نشون میده و اگر حرفه ای و 99% میخواین باید به اون 2 سایت بالا که دادم در ارتباط باشید جهت امنیت و پیکربندی سایتتون . با تشکر.

[iroo]

دوست عزیز اولا برای تست امنیتی اسکریپت همانطور گفتند باید برنامه نویسی بلد باشید اونم در حد فوق حرفه ای .
دوم اینکه اگر این مهارت را ندارید باید به متخصص این کار بدید چک کنند امنیت کار انجام میدند که کسی را میشناسم که کارش خوب هست و حرفه ای fullsecurity.org & iranhack.org
من با اینا کار کردم و میشناسم خیلی وقته خوب هستند .
سوم اگر میخواید فقط در حد 60% از اسیب پذیر بودن اسکریپتتون متوجه بشید فقط جهت متوجه شدن نه حل ان میتوانید از اسکنر های امنیتی که معروف ترینش acunetix.com این هست را استفاده کنید ( البته اسکنر های امنیتی 100% نیستند یعنی تشخصی پیدا کردن بین 60 تا 70% نشون میده و اگر حرفه ای و 99% میخواین باید به اون 2 سایت بالا که دادم در ارتباط باشید جهت امنیت و پیکربندی سایتتون . با تشکر.

یک دنیا ممنون، واقعا عالی بود، مرسی

[leberman]

امنیت بحث گسترده ای هست و از رمز عبور شما شروع میشه تا کانفیگ نبودن csf و حمله از طرف سرور . متاسفانه خیلی از سایت های معروف هم با مهندسی اجتماعی هک شدن !!! همونطور که دوستمون عرض کردن نرم افزار acunetix در صورتیکه به زبان برنامه نویسی PHP مسلط هستید توصیه میشه و باگ هایی مثل xss و csrf و ... رو میتونید پیدا کنید و رفع کنید هرچند رفع کردن این باگ ها به معنای رفع 100٪ این باگ ها نیست و ممکن هست در قسمت های دیگه ای از سایت شما هم موجود باشند.