نوشته اصلی توسط yastheme
دست شما درد نکنه که به فکر سایر کاربران هستید و جای تقدیر داره ولی پست های شما که نقل قول کردم بیانگر چیز دیگه ای هست
انشالله در راه کمک به کاربران موفق باشید
پاسخ : پیدا کردن باگ!! چجوری؟
دست شما درد نکنه که به فکر سایر کاربران هستید و جای تقدیر داره ولی پست های شما که نقل قول کردم بیانگر چیز دیگه ای هست
انشالله در راه کمک به کاربران موفق باشید
دنیا که به کار ناکسان راضی شد گوساله بمرد و کره خر قاضی شد
پاسخ : پیدا کردن باگ!! چجوری؟
ایشون ادعایی کردند و من خواستم ثابت کنند!
دو تا باگ SQL injection که این حرفا رو نداره؛
بهتره تاپیک را مسدود کنید تا هم اسپم ارسال نشه؛ هم حد اقل یه بهونه ای برای کاربرای دیگه باشه
موفق باشید
ویرایش توسط yastheme : May 28th, 2015 در ساعت 14:39
█ سنترال هاستینگ - اولین سرویس دهنده DDoS Protected ایرانی!
█ شرکت ایمن میزبان راهبر کاسپین (شماره ثبت : 1799 شناسه ملی: 14006354907 )
پاسخ : پیدا کردن باگ!! چجوری؟
God جان,آره.دلیل این کار رو هم نمیدونم.
توی بعضی از تاپیک ها شده من بهتر از تو میدونم و من فلان هستم و ...........
همیشه هم اول کل کل میگن که جسارت نشه یا سوء تفاهم نشه یا ببخشید یا ....
اما عملا دارن یک شخصیت رو مورد هدف میذارن.حالا نمیدونم یک سوال کاربر چه چیزی داره که شروع به کل کل میکنن.
پاسخ : پیدا کردن باگ!! چجوری؟
به نظر من دیگه کاربرانی که تجربه تو این ضمینه داشتند جواب دادند اندازه 3 صفحه جوابش هم استارتر متوجه شد الان چی به چی هست بهتره حذف یا بسته شود چون دیگر نیاز نیست با تشکر.
پاسخ : پیدا کردن باگ!! چجوری؟
سلام.
این هم اخرین پست من توی این تاپیک
yastheme جان,دوتا نکته
اول گفتین که :
ببینید ایشون گفتند دارای تخصص هایی هستند که یه برنامه نویس نداره! یعنی برای باگ گیری یک برنامه نیاز نیست اون زبان برنامه نویسی رو بلد باشی !!
هرکسی تخصص هایی داره که هیچ کسی نمیتونه به زور بیاد بگه این کارو بکن یا نکن.ایشون تخصص هایی دارن که اگه میخواستن با اینجور کل کل ها جواب بدن,هیچکی نمیتونست نفس بکشه.اما یک شخصیت خیلی خوبی دارن که هیچوقت نمیاد سرصدا کنه که من فلان هستم یا چیزی بلدم یا .....سرشون تو لاک خودشونه و کسانی که از قدیمی های هکینگ و شبکه و ... هستن,ایشون رو میشناسن و میدونن کی هست و چه مهارت هایی دارن
دوما,شما میگید ایشون ادعا کردند,درسته :
ایشون ادعایی کردند و من خواستم ثابت کنند!
اینو شما گفتین.
ما فرض بر این میگیریم که حرف secure عزیز الکی بوده ( با اینکه نیست.چون من با ایشون کار کردم و....) اصلا دوست نداره حتی سورس شمارو ببینه.دوست داره اصلا الکی چیزی رو بگه.مشکلی به وجود میاد؟شما میخوای بگین که سواد شما زیاده یا یکی دیگه سواد نداره؟
و سوم یک نمونه از کارهاشونم بهتون بگم که شما به حساب سروری دارین که از لحاظ امنیت و دیداس و .... خوبه.که قابلیت clude گذاشتین و ....
secure عزیز هم سرور دارن.اما اصلا از روش شما استفاده نمیکنن.به روش خودشون سرورشون رو درست کردند و هیچوقت هم نگفتن که ما سرورمونو فلان کردیم و ..... شما برید داخل سرور ایشون,ببینید چه کارهایی کرده که به جدیت میتونم بگم که بهترین کانفیگر سرور و شبکه و ..... ایشون هستن.اما هیچوقت هیچ ادعایی ندارن و نداشتن.
و آخرین حرف.
تالار گفتمان برای بحث و گفتگو هستش.این تالا گفتمان هم یکی بهترین فروم ها برای سوال و پاسخ و خرید و فروش و کمک و آموزش و .... هستش.بهتره تاپیک را مسدود کنید تا هم اسپم ارسال نشه؛ هم حد اقل یه بهونه ای برای کاربری دیگه ای باشه
دلیل نمیشه که خودمون میایم کل کل رو شروع میکنیم.بعد بگیم بهتره تاپیک بسته شه تا کل کل نشه
خوب تاپیک اگه باز باشه و ما ادعای الکی نکنیم,مشکلی به وجود میاد؟باز باشه تا دوستانی که میتونن بیان توضیح بدن تا حداقل ما بی سوادا چیزی یاد بگیریم و آدم های با سوادی که نمیخوان,نگاه نکنن.
از همه دوستان عذر خواهی میکنم.مخصوصا GOD عزیز.
موفق باشید.
پاسخ : پیدا کردن باگ!! چجوری؟
ممنون از همه دوستای گلم، از گفته های همدیگه ناراحت نشین، همه اینجا با هم رفیقیم، برای یه بحث الکی ارزش و احترام ها رو از بین نبریم
دوستتون دارم قد دنیا
انجمن سئو فروم (Https://seoforum.ir)؛ تالار پرسش و پاسخ سئو و دیجیتال مارکتینگ ایران
پاسخ : پیدا کردن باگ!! چجوری؟
برای بررسی باگ های یک سایت منم با SECURE-HOST موافق هستم که نیازی نیست زبان برنامه نویسی رو بطور کامل بلد باشید یک هکر کارش با برنامه نویس کاملا متفاوت هست، بررسی امنیتی یک سایت هزینه های بالای داره و شرکت و افراد کمی هستند که بصورت حرفه ای فعالیت میکنند و برای سایت های کوچیک اصلا ارزش نداره ،بعضی از دوستان هم هستند که مثل سایت هایی که نام بردن یکساعته امنیت چک میکنند با اکانتیکس میگن سایت شما اصلا باک نداره
پاسخ : پیدا کردن باگ!! چجوری؟
اول بهتر است این سوال را بپرسیم چه شخصی این برنامه را نوشته ؟ اگر خودتان نوشتید به مراتب آسان تر خواهد شد...
اما اگر خیر که ابتدا باید سورس ها بخوانید و برای خودتان ترجمه و تفسیر کنید سپس ذهنی فعال داشته تا بتوانید در زمانی که کد هارا می خوانید در ذهنتان اجرا کنید و نتیجه بگیرید(البته بعضی از کد خیلی واضح هستند و نیازی به تحلیل ندارد)
حال شما فکر کن شخص برنامه نویس از استاندارد های برنامه نویسی هم استفاده نکرده باشد که دیگر کار شخصی که دنبال باگ هستش خیلی زیاد خواهد شد...
اگر قصدتان رفع نواقص اسکریپت خودتان هستش ابتدا برید دنبال روش های نفوذ بگردید و سعی کنید روی اسکریپت خودتان تست و محل آسیب پذیر را مخالف یا ضد آن ترمیم یا مجددا برنامه نویسی کنید.
درضمن نرم افزار هایی مثل acunetix اصلا جالب نیستند ، زیرا یک سری اطلاعات غلط هم به شما می دهند... ممکن هستش کلی باگ از اسکریپت شما پیدا کند که اصلا باگ نیستند،زیر فقط یک برنامه است که قبلا توسط برنامه نویس دیگری برنامه نویسی شده .
بدون داشتن سورس هم می توانید باگ پیدا کنید اما شاید گستردگی آنرا با مشاهده ی سورس بیشتر بتوانید درک کنید...
بهتر است در برنامه نویسی از شئ گرایی استفاده کنید (شئ گرایی ربطی به امنیت شما ندارد) به همین خاطر اگر در جایی مشکل برنامه نویسی بود نیاز به ویرایش تعداد زیادی صفحه نیست و تنها با تغییر یک خط کل سورس شما تغییر می کند.
کد شما اگر اشتباه نکنم 7 نکته ی امنیتی دارد که با استفاده از جعل کردن session و cookie و همچنین استفاده از متد get و تغییر شرط sql میتوان به دیتابیس دسترسی داشت.چه جالب!
چند خط کد نوشتم من الان؛ اونم یهویی
http://pastie.org/10211472
یه توضیحی هم بدم ؛ فرض می کنیم فایل هایی که انکلود شدن همه اوکی هستند و برای همین کدشو نزاشتم؛
یه صفحه هست که ما توش لاگین می کنیم و برامون سشن و کوکی میسازه و تو این کد که براتون قرار دادم صفحه ی بعد هست که سشن و کوکی رو چک می کنه و بعد اگه لاگین انجام شد از دیتابیس یه خبری رو می خونه؛
این ساده ترین نوع باگی هست که هر کسی می تونه پیدا کنه.
برای جعل session یا کوکی هم ساده ترین راه استفاده از یک سری افزونه در مرورگر می باشد یا حتی استفاده از مرورگر firefox developer edition که امکان اضافه کردن یا ویرایش یک کوکی را به راحتی ممکن ساخته...
روش دیباگ کردن : ساده ترین راه استفاده از addslashes است که خیلی ابتدایی هستش اما بهترین راه نوشتن یک تابع که تمام یا اکثر مواردی که موجب از دست رفتن امنیت می شود در آن استفاده شود و تمام مقادیر با تابع بررسی شود...
ویرایش توسط shahinmq : May 28th, 2015 در ساعت 18:17
پاسخ : پیدا کردن باگ!! چجوری؟
جسارتا این مواردی که فرمودید تنها 2 مورد هست اگر بنده درست متوجه شده باشم. لطفا 5 مورد دیگر رو هم بیان کنید.
ممنونم.
اَللّهُمَّ صَلِّ عَلی مُحمّدٍ وَ آلِ مُحمّد
xpayment.ir - اسکریپت درگاه پرداخت واسطه xPay
اسکریپت تبلیغات کلیکی xAds
پاسخ : پیدا کردن باگ!! چجوری؟
بله حتما دوست عزیز :
شاید الان بگید خوب در خط 13 که با md5 کد میشود ! اما خیلی راحت میتوان به کد های md5 را ک ر ک کرد ! خواستید برنامه ک ر ک رو بهتون میدهم (البته cpu شما روی 100 میره...)کد PHP:$hash=$_COOKIE["secret"];
$level=$_COOKIE["level"];
$userid = $_SESSION['user'];
$hash2=$_SESSION['secret'];
$page=$_GET['page'];
$id=$_GET['id'];
$query3="SELECT * FROM news WHERE id=$id AND level=$level limit 1";
نکته : شما می توانید از کوکی های استفاده شده ، یک کوکی با همان نام بسازید یا ویرایش کنید و به مقدار آن یک تک کوتیشن اضافه کنید و به دلیل اینکه ما فرضمان بر این است که متغیر های level , hash , userid و ... از دیتابیس گرفته می شوند و درون کوکی یا سیشن میریزند پس امکان باگ زیاد تر می شود.
در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)
مجوز های ارسال و ویرایش
پاسخ با نقل قول