با سلام
بنده نیز از استارتر تاپیک عذر خواهی می کنم که مبحث را به حاشیه می کشم.مجبورم در همین جا پاسخ بدهم.
در مورد سوال شما از حیث ایمن سازی و محدود کردن سرور ها به طوری که شل آپلود نشود.باید خدمت شما عرض کنم که با پرمیشن بندی درست می توان سرور را ایمن کرد که در صورت آپلود شل نیز نفوذگر نتواند کاری از پیش ببرد و برای جلوگیری از اجرای وب شل هم روش های مختلفی وجود دارد که یکی از این روشها استفاده از WAF ها میباشد.

نقل قول نوشته اصلی توسط UserWht نمایش پست ها
ببخشید ایشون کی هستند که اینقدر گنده اش می کنید ؟

نخبه امنیت ایران ؟ !! یکم بهتر است معقولانه و منطقی بدور از هر احساساتی در مورد معرفی کردن ها عمل کنیم از امضای شما معلوم است که خودتون خودتون رو تبلیغ می کنید .
بنده کسی نیستم و نحواهم بود و بار ها و بارها از همکارانی که در این فروم براشون خدمات penetration testing و یا hardening security انجام داده ایم خواسته ایم که حرفی از من به میان نیارند و ما را در فروم بزرگ نکنند . چون بزرگ نیستم. (دلیل مخالفتم هم این است که همکاران به من لطف دارند و گاها برای ایمن سازی سرور هاشون به من مراجعه می کنند که بنده به اقتضای شغلی که دارم برخی اوقات فرصت برای انجام درخواست همکاران ندارم . و لذا برخی اوقات به خاطر نبود وقت کافی شرمنده همکاران خواهم شد.)
همکار عزیرز جناب UserWht بنده هم با نظر شما موافقم که به دور از احساسات در مورد معرفی کردن ها عمل کنیم. همکارم کاربر VPS به تازگی در بخش فروش .: Secure Host :. هاست امن - سرور امن - فضای امن - هاستینگ - ثبت مشغول به فعالیت شده اند و از قبل هم در کلاس های این حقیر در حیطه Hardening Security شرکت می کردند هرچند که بنده جندین بار به ایشان تذکر داده و دادم که این کار ها را در فروم انجام ندهد ولی متاسفانه ایشان به مقتضی سنشان عمل میکنند. و کمی جوگیرند. و چاره ای نیست.

نقل قول نوشته اصلی توسط Sohan Roh نمایش پست ها
با سلام.

نخبگان امنیت ایران !

البته ايشون كه 100% جزء اين نخبگان قرار نميگيره !

چون اين كاره نيست !

من مدير امنيتي چندين هاست و .... هستم ولي هنوز جرات نميكنم در اين مورد ادائي كنم و يا بگم نخبه هستم چون هميشه بازم يك راهي براي نفوذ هست !

با تشكر.
سلام . مگر بنده ادعایی کرده ام ؟
بنده هم هیچ ادعایی در مورد نخبه بودن نداشته و ندارم. و تا الان هم جرات نکرده ام که در این مورد ادعایی کنم. بر حسب ۱۰ سالی که در این حوزه کار کردم می دانم که هیچ سروری واقعا امن نیست زیرا در برخی از اوقات با ایمن سازی برخی از سرور ها و سپس هنگام بررسی سرور ها در آزمایشگاه به نقاط ضعف جدیدی دست پیدا کرده ایم که بعد از بررسی سرور های مختلف موضوع به Vendor گزارش میشده است . که اخرین موضوعی که گزارش شد . مشکل امنیتی واقع در سرویس BIND بود که در سایت OSDVB هم CVE گرفت و حزییات حمله و نحوه سو استفاده از این مشکل امنیتی به همراه Exploit مربوطه پارسال در دانشگاه شریف ارایه شد. که همکاران عزیز بنده مثل حسین عسگری و شاهین رمضانی (از تیم سیمرغ ) وبرخی دیگر از فعالان این حوزه نیز در آن سمینار حضور داشتند.


نقل قول نوشته اصلی توسط UserWht نمایش پست ها
آفا / خانم صیفی عزیز

تیم هایی که ذکر کردید همگی در زمینه امنیت تلاش می کنند و تلاششون قابل تقدیر است و هیچ یک ادعای نخبگی ندارند من در زمینه امنیت کمی مطلع هستم و خوب می دونم که مساله امنیت و برتری در یک باگ خلاصه نمیشه و به مواردی دیگر از جمله تجربه ، علم ، دانش و ... هم بستگی داره یادتون باشه آدم هرچقدر که با سواد باشه ادعا میکنه که بازم هیچی نمی دونه چون رفته رفته که میره جلو می فهمه که هیچی نبوده و نیست .
بله . از تیم های که سرکار خانم صیفی نام برده اند . بنده فقط با تیم های simorgh-ev , ashiyane , emperor آشنایی نزدیک داشته ام و گاها برخی از پروژه ها را برای این تیم ها انجام داده ام و بشتر با تیم simorgh و emperor فعالیت می کنم. می توانید این موضوع را از خود حسین بپرسید و یا از ایمان (امیرحسین صیرافی)موضوع emperor را پیگیری کنید.

امید وارم که این موضوع در همین جا تمام شود و دیگر بعد از این تاپیک به حاشیه نرود.

خطاب به کاربر VPS : آقا بالا غیرتا بیخیال معرفی ما شو بذار راحت زندگی کنیم. به اندازه کافی از کل کل و ..... خسته هستم.

با تشکر