Pooyan Afzali

در این تست افزونه های زیر شرکت داشتند Admin tools RSFirewall OSE Anti hacker Biziant Sentry jFireWall jHackGuard Mighty Defender NinjaSecurity SecureLive اولین متد حمله: ایستادگی افزونه های امنیتی در مقابل حملات مبتنی بر xss در فرم نظرات افزونه k2 v2.3 در این روش به فرم نظرات افزونه کی دو نسخه 2.3 که قبلا به عنوان نقطه آسیب پذیر در این افزونه شناسایی شده بود حمله شد ابتدا مختصری در مورد حملات xss توضیح میدم که بهتر در جریان تست قرار بگیرید: به طور کلی حملات xss به حملاتی که کاربر از طریق مرورگر و با استفاده از کد های جاوا اسکریپت در نقاط حساس و آسیب پذیر سایت مثل فرم ها (نظرات،مدیریت و..) که به هر طریقی به دیتابیس متصل و حاوی اطلاعات مهمی نظیر یوزر و پسورد کاربران مثل مدیر هستند اجرا میشه و هدف کاربرانی هستند که به سایت وارد میشن مثل مدیر که میره یوزر پسوردشو توی فرم لوگین وارد میکنه و باعث سرقت کوکی میشه یا میتونه باعث سرقت اطلاعات بانکی یک کاربر بشه این حمله در صورتی امکان پذیره که سایت هدف دستورات جاوا اسکریپت رو فیلتر نکرده باشه و یا بدون بررسی قابل اجرا باشن در اون قسمت سایت البته در نسخه های جدید مرورگر ها مثل فایر فاکس امکان اجرای دستورات جاوا اسکریپت در مرورگر امکان پذیر نیست و هکر ها از نسخه 5 به پایین این مرورگر برای تزریق کد استفاده می کنند خوب حالا از اونجایی هم که افزونه های متعددی برای جوملا هست یکیشون که خیلی معروفه و k2 نام داره (البته من شخصا با این جور افزونه ها مثل سوبی کی دو و... مخالفم به دلایل متعدد یکیش همین امنیت) در نسخه 2.3 در قسمت فرم نظرات مخصوص این افزونه دارای باگ xss هست که در این تست ازش استفاده شده در واقع فرضیه اینه: در سایتی که افزونه k2 نسخه 2.3 نصب شده که حاوی باگ xss هم هست و با نصب بودن همزمان هر یک از این افزونه های امنیتی ،در صورت بروز حمله توسط هکر به سایت،افزونه امنیتی مورد نظر چه واکنشی رو نشون میده: با اجرا کردن حمله xss به فرم نظرات کی دو نسخه 2.3 نتایج زیر حاصل شد: 1-Admin Tools Pro : اصلا نتونست حمله رو تشخیص بده و هکر به راحتی کد رو تزریق کرد رفت !!!!!! البته تعجبی هم نداره چون بر خلاف بعضی سایت ها و افراد که از این افزونه به عنوان سپر دفاعی (اونم چه سپر دفاعی اوپن مایندی!!) نام می برند و نصبشو برای امنیت سایت اکیدا توصیه میکنند باید بگم که این افزونه صرفا یکسری اقدامات ساده مثل تغییر پسوند دیتابیس و یا تغییر آی دی مدیر و... اقدام می کنه که اصلا ربطی به حملات هک نداره !!! پس کاربرانی که با نصب این سپر دفاعی عظیم !! فکر می کنند حملات xss روی سایت فیلتر میشه که تعدادشونم کم نیست حساب کار دستشون بیاد در مورد کارایی واقعی این افزونه من پارسال یکسری تست ها انجام دادم که بعدا اگه مجالی بود قرار میدم نتایجم رو. بریم بعدی.....:4d564ad6::4d564ad6: 2- Ose Anti Hacker این افزونه که اخیرا سری تو سرا دراورده و ose خیلی روش مانور میده در مقابل این حمله اومد آی چی هکر رو بن( بلاک) کرد که برای دفعات بعدی نتونه اقدام کنه میشه گفت عملکرد متوسطی داشت در این حمله چون نتونست به طور کامل جلو گیری کنه البته برای هکر های تازه کار همین بن کردن آی هم خیلی مفیده اما برای هکر های حرفه ای :hooom::hooom::33::33: چون وقتی هکر بعد از اجرای دستور با بلاک شدن آی پیش مواجه میشه اگه کار بلد باشه میتونه ip blocking رو به راحتی دور بزنه در واقع در دنیای هک یکی از معضلات همین ip blocking توسط سیستم های امنیتی روی سایت و سرور مثل فایروال های سخت افزاری و انتی دیراسر های سخت افزاری هست که برای متد های جالبی وجود داره که اکثرا پpriv8 هستند اما به هر حال این افزونه در مقابل این حمله کاری که انجام داد آی پی مهاجم رو بلاک کرد 3- Biziant Sentry این افزونه که تقریبا ناشناسه در این حمله یبه کی 2 کاملا اجازه داد کد حمله رو اجرا کنه بدون در نظر گرفتن ورودی یا کد داده شده به افزونه در واقع این افزونه کد رو شناسایی کرد اما ورودی رو فیلتر نکرد. بطور کلی فرم های تحت وب باید طوری باشه که ورودی ها رو بررسی کنه و در صورت مغایرت اونو فیلتر کنه که در این نسخه از کی دو همین بررسی نکردن ورودی مشکل ساز شد و این ابزار هم نتونست از حمله جلو گیری کنه پس نمرش منفیه 4- jFireWall این افزونه که تجاری هم هست اصلا نتونست حمله رو شناسایی کنه و کد براحتی اجرا شد و .......:hooom::hooom: 5-jHackGuard این پلاگین بنظرم در عین سادگی عملکرد خوبی داره و ثابت کرده قدرت در تجاری بودن و کامپوننت و.. نیست . این افزونه هم نتونست جلوی حمله رو بگیره اما وقوع حمله رو ثبت کرد 6- Mighty Defender این افزونه هم نتونست حمله رو شناسایی کنه و متد اجرا شد 7- NinjaSecurity این افزونه تجاری هم در شناسایی حمله ناکام موند 8-RSFirewall این افزونه محبوب و تجاری که بیشتر نسخه نال شدش استفاده میشه تا لایسنس دار و و نسخه نال شدش بعضا بدلیل وجود کد های مخرب اضافه شده توسط افراد مختلف خودش موجب هک شدن کاربر میشه تونست حمله رو شناسایی کنه و خطای Forbidden 403 رو به هکر نشون بده و اونو ناکام بزاره البته باید گفت خطای 403 رو هم باز اگه هکر حرفه ای باشه میتونه دور بزنه اما نه به راحتی !!! در هر حال این افزونه عملکرد مثبتی داشت در این حمله 9-SecureLive این افزونه هم در تشخیص حمله ناکام موند و کد به راحتی اجرا شد منتظر قسمت های بعد ،متد های حمله بعد و نتیجه حاصله از این افزونه ها باشید این تاپیک به مرور تکمیل میشه پس صبور باشید

درود آره . در کل بحث نال که کاملا مشخصه.کسی که محصولات تجاری رو رایگان منتشر میکنه منظور داره اینو قبلا مکررا گفتم قبلا اما بالاخره برای خیلی از کابران مقدور نیست واسه یه قالب 50-70 دلار هزینه بدن پس مجبورن نال استفاده کنن و واقعیت اینه که محصولات نال محبوبیت زیادی داره اونم با قیمت دلار الان... پس حد اقل باید در مورد برخی موارد محرز باید اطلاع رسانی بشه که حد اقل قربانی داشته باشه

درود باید php بلد باشید و تک تک فایل های php قالب رو بررسی کنید دستی ولی عموما هکر میاد قسمت های دستکاری شده رو کد میکنه که نشه فهمید چیه .

درود افزونه j-stuff که در قالب های شرکت راکت تم دیده میشه دارای باگ xss هست که توسط تیم امنیتی آشیانه کشف و شناسایی کنه کسانی که از این افزونه استفاده میکنند اونو غیر فعال کنند آسیب پدیزی در قسمت فرم تماس با ما دیده شده www.site.com/index.php/j-stuff/contact-us

درود این باگ واسه چند ماه پیشه که priv8 بوده و بعد چند ماه عمومی کردند باگ رو هکرا واسه دروپال هم در تاریخ 2013-04-18 یک باگ priv8 بین هکر ها منتر شده که بعد اینکه تعداد زیادی سایت دروپال هک شد خبر کاملش عمومی میشه

درود اینکه کدوم cms امن ترینه یک مقدار غیر منطقیه بلکه بسته به نیاز و سلیقه کاربران تعیین میشه من هم از رودپرس هم جوملا هم دروپال از سایت هام استفاده می کنم واسه دروپال هم باگ های متعددی منتشر شده که priv8 هست:128fs318181: اما اینکه نصب افزونه کمتر=امنیت بیشتر دسته

درود این افزونه قابلیت بلاک کردن یک آی پی مشخص رو داره ولی نمیتونه آی پی یک کشور رو بلاک کنه مگه رنج آی پی یک کشور رو بهش بدی بهتره از برنامه های country ip blocking استفاده کنی که با تیک زدن اسم کشور خاص کل آی پی هاش بسته میشه چون داخلش دیتابیس کشور ها روداره

درود یه چیزی که خیلی منو اذیت میکنه اینه اکثر کاربرا تصورشون اینه با نصب چند افزونه امنیتی دیگه هک نمیشن!!!! در صورتی که سخت در اشتباهن !!! افزونه امنیتی فقط یکی از ابعاد امنیت سایت هست

درود یه چیزی که خیلی منو اذیت میکنه اینه اکثر کاربرا تصورشون اینه با نصب چند افزونه امنیتی دیگه هک نمیشن!!!! در صورتی که سخت در اشتباهن !!! افزونه امنیتی فقط یکی از ابعاد امنیت سایت هست

درود تست شد و مورد مشکوک دیده نشد

درود سایت بالا نمیاد

درود کد نویسیش مشکل نداشت و باگ برنامه نویسی مشاهده نشد اما میتونی با افزونه های امنیتی مناسب و رمز عبور قوی تر و همچنین استفاده بهینه از htaccess و php.ini امنیت رو ارتقا بدی

درود دوست عزیز علت این هست یک نفر از سرور دسترسی داره و روش یک فایل php که باهاش میشه در مدت زمان کوتاهی نزدیک به 999999 ایمیل فرستاد که به اصطلاح به متد mail server bombing معروف هست رو آپلود کرده و به تبلیغ برای خودش و یا هدف دیگه ای اقدام به ارسال ایمیل میکنه و از اونجایی که ارسال ایمیل گروهی با تعداد زیاد و همزمان فشار بسیاری روی سرور میاره در نتیجه مدیر سرور به شما هشدار میده باید کل فایل های php هاستتونو تک تک بگردید و اون فایل رو پیدا کنید البته این امکان هم هست که اون شخص باهوش باشه و هر وقت بخواد ایمیل ارسال کنه فایل رو آپلود کنه روی هاست باید مدیر سرور تنظیماتی روی سرور اعمال کنه که برای هر کاربر مقدار مشخصی از منابع سرور اختصاص داده بشه و در صورت مصرف اضافه تر دسترسی گرفته بشه تا اون شخص بی خیال بشه

درود باگ نداشت اما مراقب سایت های روی هاست باشید و بک اپ روزانه فراموش نشه امنیت رو ارتقا بدید

درود امنیت نرمال بود اما میتونید بیشتر ارتقا بدید

درود سایتتون نرماله اما باید بیشتر روی امنیتش کار کنید بله هاستتون هک شده و هکر از سرور دسترسی گرفته

درود sql injection داشتن یک سایت اصلا ربطی به اسپم شناخته شدن اون سایت از طرف گوگل نداره چون خیلی از سایت های معروف این باگ رو دارند و داشتن این باگ برای هک شدن خطر ناکه نه اسپم شدن قطعا این سایت به دلیل اینکه داخل سایت یک کد مخرب که به احتمال زیاد جاوا اسکریپت هست مشکل داره یا افزونه خاصی که از طرف گوگل مشکل دا هست توصیه میکنم بصورت دستی کد های سایت رو بررسی کنید و یا با اسکنر های آنلاین کد های سایت رو بررسی کنید

درود به دیتابیس برید و ببینید پلاگین ها رو غیر فعال نکردید؟

اگه عملکرد سایت مختل شد و یا قسمت های مختلف سایت درست کار نکرد و ... ولی قطعی نمیشه فهمید برای سایت های روی سرور یک متد این سایت هست http://www.yougetsignal.com/tools/web-sites-on-web-server/ باید به اصول تست نفوذ اگاهی داشته باشی و باگ ها رو بشناسی و از هک اطلاعات مناسبی داشته باشی صرفا با نرم افزار کاری نمیتونی انجام بدی

درود جوملا 1.5 اصلا توصیه نمیشه ازش باگ های پرایوت زیادی اومده و با ایمن سازین قابل حل نیست مدیر هاستم حق داره و کل مدیر هاستا باید جوملا 1.5 رو حذف کنن از سروراشون چون خطر جدی برای کل سرور هست

درود در پست قبلی مهندس افزونه های امنیتی جوملا رو معرفی کردن و در ادامه من میخوام در مورد تست نفوذ سایت های جوملایی بر اساس این افزونه ها توضیح بدم در واقع در این تاپیک قصد داریم بررسی کنیم که با نصب بودن هر کدوم از این افزونه ها و با انجام متد های مختلف هک روی سایت چه اتفاقی میفته و عملکرد و واکنش این افزونه ها چطوری هست؟ چرا که کارایی این افزونه ها در قبال امنیت سایت بسیار حائز اهمیت هست و من میخوام همینجا یک نکته خیلی خیلی مهم رو گوشزد کنم خیلی از کاربرا به من پیام میدن و سوال میکنن: آیا با نصب افزونه rsfirewall امنیت سایت من کامل میشه و من دیگه هک نمیشم؟؟؟ و جواب من اینه: امنیت سایت با نصب یک افزونه تنها کامل نمیشه چرا که امنیت سایت یه مقوله چند وجهی هست . به یک عامل بستگی نداره بلکه عوامل متعددی دخیل هستند یکیش افزونه امنیتی هست و یا شرکت های سازنده افزونه های امنیتی با کلی تبلیغ ادعا میکنن که محصول امنیتیشون در مقابل هکر ها حفاظ ایجاد میکنه متد های متعددی برای تست عملکرد و آسب پذیری افزونه ها وجود داره یکی از اونا اینه که بیایم با استفاده از آسیب پذیری موجود روی سایت بیایم کد رو روی سایتی که افزونه امنیتی نصب روی اون هست و در حالت عادی اگه روی سایت جوملایی خام که دارای باگ و بدون وجود افزونه های امنیتی هست اجرا کنیم باعث هک شدن میشه اجرا و منتظر نتیجه باشیم که متد پرطرفداری هست در واقع ما دو الگو داشته باشیم یکی یک سایت خام جوملایی باگ دار و یکی دیگه یک سایت جوملایی باگ دار همراه با افزونه های امنیتی در قسمت بعد وارد مبحث اصلی میشیم

درود بحث مقایسه بسته های امنیتی مفصل هست و از ابعاد مختلفی میشه یک آنتی ویروس رو مقایسه کرد مثل سرعت موتور جستجو،قدرت تشخیص،کیفیت هوش مصنوعی، توانایی تشخیص رفتار فایل،تاثیر بر سرعت سیستم ،قدرت پاک کنندکی بد افزار و... اویرا هم آنتی ویروس بسیار قدرتمندی هست و بیشتر شهرتش بدلیل قدرت بسیار بالا در تشخیص بد افزار ها هست و در واقع از حساسیت زیادی برخورداره اما همین حساسیت باعث شده اویرا به خیلی از فایل ها گیر بده حتی اونایی که بد افزار نیستند و شبیه بد افزار هستند و کاربر توی دردسر میفته بعضی موارد(البته این مورد شامل کاربران عادی نمیشه چون کاربرانی که خیلی با کامپیوتر تخصصی کار دارند با فایل هایی سر و کار دارند که مشابه عملکرد بد افزار هست) ضمنا بسته آنتی ویروس این شرکت فقط قدرت بسیار بالایی داره و بسته کامل امنیتی این شرکت که شامل فایر وال میشه اصلا کارایی نداره و نصبش اصلا توصیه نمیشه چرا که فایروال اویرا خ خ ضغیف هست زیو 10 درصد ایمینی میده و تقریبا بود و نبودش تاثیری در امنیت سیستم نداره و اصلا توصیه نمیشه بنابرین اگه کسی میخواد استفاده کنه یا نسخه رایگان یا نسخه آنتی ویروس تجاری رو استفاده کنه ولی با تمام قدرت باید گفت اویرا از تکنولوژی آنتی ویروس ها عقب افتاده و همچنین رابط کاربری ضعیفی رو داره که خیلی به دل کاربرا نمیشینه و محیطش ساده هست و شرکت هایی مثل آواست ، بیت دیفندر و کسپر گوی سبقت رو گرفتن و بیشترین استفاده از آنتی ویروس رو در سال 2012 این سه آنتی ویروس داشتند

درود قیمتاشون بالا نیست دلار توی ایران گرونه و.....:128fs318181: خیر قابل شناسایی نیستند در واقع هیچ ابزاری قادر به شناسایی نیست یا اگر هست جزیی هست تجربه و مهارت لازم هست

درود بهترین راه بررسی کل فایل های php و دیدن سورس برنامه هست چون بین کل فایل ها ممکنه یه فایل مخرب php اضافه شده باشه و اینکه از php سر در بیارید ضمنا اگه لایسنس رو قانونی بخرید دیگه این نگرانی وجود نداره چرا که بررسی بیش از 500 فایل php کار واقعا سختیه (هرچند شخصا وقتی از نال شده استفاده میکنم بررسی میکنم) و اینکه از سایت های معتبر و سالم دانلود کنید چون اکثر سایت های روسی که نالر هستند دستکاری میکنند سورس رو (عموما کسی محض رضای خدا نمیاد یه افزونه تجاری محبوب رو بده دست شما)

برای این کار به این مثال توجه کنید <IfModule mod_expires.c> # disable caching forthis directory mod_expires for this directory ExpiresActive off </IfModule>