برای تغییر تاریخ تولد ابتدا از انتهای سایت زبان را انگلیسی کرده ، تاریخ تولد را درست کنید سپس دوباره به فارسی برگردانید.

Welcome to انجمن تیم امنیتی سایبر اسپیریت

برای استفاده از تمامی امکانات سایت لطفا ابتدا ثبت نام کنید.

جستجو در تالارهای گفتگو: در حال نمایش نتایج برای برچسب های 'هک سایت'.



تنظیمات بیشتر جستجو

  • جستجو بر اساس برچسب

    برچسب ها را با , از یکدیگر جدا نمایید.
  • جستجو بر اساس نویسنده

نوع محتوا


تالارهای گفتگو

  • اخبار و اعلانات انجمن سایبر اسپیریت
    • قوانین و اطلاعیه های سایت
    • بخش مسابقات انجمن
    • انتقادات و پیشنهادات
    • افتخارات و اطلاعیه های تیم سایبر اسپیریت
    • بخش ارتقاء کاربران
    • اخبار هک و امنیت
    • اکسپلویت های ثبت شده توسط تیم امنیتی سایبر اسپیریت
    • برنامه ها و ابزارهای نوشته توسط سایبر اسپیریت
  • بخش های خصوصی انجمن سایبر اسپیریت
    • سوال و جواب های عمومی
    • آموزش های تصویری نفوذ به سیستم های شخصی و روشهای مقابله
  • انجمن نفوذ و امنیت
    • آموزش های تصویری
    • آموزش های تصویری سایت ها و سرورها و روشهای مقابله
    • آموزشهای تصویری شبکه و روشهای مقابله
    • حملات شبکه و راههای مقابله
    • DOS , DDOS
    • ویروس ها و تروجان ها
    • متاسپلویت Metasploit
    • ابزارهای امنیتی
    • بخش کرک و رمزنگاری
    • Shell Script
    • آسیب پذیری های وایرلس
    • اکسپلویت
    • باگ های امنیتی
    • امنیت ایمیلهای شخصی
    • تارگت های تمرینی
    • اسکنرها و ابزارهای هکینگ
  • برنامه نویسی
    • برنامه نویسی
  • بخش موبایل
    • بخش مخصوص موبایل
  • شبکه
    • Cisco سیسکو
  • سیستم عامل
    • لینوکس
  • الکترونيک و روباتيک
    • الکترونيک
  • گرافيک
    • فتوشاپ
  • متفرقه
    • بحث آزاد

وبلاگ‌ها

چیزی برای نمایش وجود ندارد

چیزی برای نمایش وجود ندارد

دسته ها

تقویم ها


3 نتیجه پیدا شد

  1. جعل درخواست بین سایتی (CSRF) اگرچه این مساله نوع خاصی از حمله به حساب نمی آید و بیشتر شبیه به تکنیکی برای گسترش یک کرم شبکه اجتماعی پیچیده است، ولی حملات جعل درخواست بین سایتی، از اعتمادی که یک سایت شبکه اجتماعی به کاربر خود و مرورگر وی دارد سوء استفاده میکند. بنابراین تا زمانی که برنامه شبکه اجتماعی، سرآیند (هدر) فرد مراجعه کننده را بررسی نمیکند، یک فرد مهاجم میتواند به سادگی یک تصویر را در جریان وقایع یک کاربر به اشتراک بگذارد که کاربران دیگر با کلیک بر روی آن، دچار یک حمله شده و یا باعث انتشار آن حمله گردند. به عنوان مثالی از جعل درخواست بین سایتی فرض کنید که کاربر شماره یک، برای یک سایت بانکی کاربری شناخته شده و معتبر است. کاربر شماره دو که فردی خرابکار است، یک تصویر را بر روی سایت شبکه اجتماعی ارسال میکند که آدرس پشت آن، به یک فعالیت کاربر شماره یک در آن سایت بانکی اشاره میکند. اگر وب سایت بانک مورد نظر اطلاعات تایید هویت کاربر شماره یک را در یک کوکی ذخیره کرده باشد و اگر آن کوکی هنوز منقضی نشده باشد، آنگاه تلاش مرورگر کاربر شماره یک برای باز کردن تصویر ارسال شده، باعث میشود که اطلاعات وی از کوکی مذکور بازیابی شده و بدون تایید کاربر شماره یک، یک فعالیت بانکی رخ دهد. در حقیقت در این مثال، کاربر شماره دو درخواستی را به صورت جعلی به جای کاربر شماره یک به وب سایت بانک مذکور ارسال کرده است. به طور خلاصه XSRF, CSRF يا همان ( (Cross Site Reference Forgery به اين معنا است كه شخص مهاجم از اعتماد سايت*ها نسبت به كاربرانشان براي حملات خود سوءاستفاده مي*كند و اعمالي را توسط شما و با سطح دسترسي شما بر روي سايت انجام دهند و اطلاعات مورد نظر خود (محتويات كوكي يا سشن و امثال آن) را استخراج كرده و به هر سايتي كه تمايل دارد ارسال كند. اين*كار عموما با تزريق image tag در HTML يا JavaScript انجام مي شود كه معمولا نفوذگر اين كد ها را در email يا سايتي خاص قرار مي دهد ; كاربري كه اين صفحه را مشاهده مي*كند، متوجه وجود هيچگونه مشكلي نخواهد شد اما با باز شدن email يا لود كردن صفحه سايت كدي با سطح دسترسي شخص بازديد كننده بر روي سايت اجرا خواهد شد. وبه هكرها امكان مي دهند كه ، اطلاعات شخصي كاربري كه در آن زمان وارد سايت شده است را در اختيار گرفته و از آن ها سوءاستفاده كنند. csrf مخفف Cross-Site Request Forgeries است. درخواستی که از طریق یک سایت دیگر می‌آید. می‌تونه حمله مهمی باشه و اثرات مخربی هم بذاره. «فرض کنید» که کاربران سایت google.com با رفتن به صفحه google.com/logout کوکی‌شون پاک میشه و logout میشن. خب مدیر یا یکی از کاربران یک سایت دیگر (مثلا یک کاربر شیطون در یک انجمن و فاروم خیلی شلوغ) ممکنه بیاد و همچین عکسی بذاره توی صفحه سایت خودش: <img src="http://www.google.com/logout/" /> شما و همه کسانی که اون صفحه رو باز کنن، براوزر میره برای لود اون عکس و کوکی شما که توسط دامنه گوگل ایجاد شده هم برای تائی هویت ارسال میشه. اینجوری همه کسانی که اون صفحه رو می‌بینن از اکانت گوگل‌شون بیرون انداخته میشن! خب ممکنه بگید که مهم نیست و خطری نداره. اما بقیه‌اش رو گوش کنید: اگر شما از یه cms یا برنامه‌ای استفاده کنید که مثلا مدیر برای حذف یه مطلب کافی باشه یه آدرسی شبیه اینو ببینه: site.com/admin/delete/74 (کما اینکه در بسیاری از cms ها همینطوره) و اون cms باگ csrf داشته باشه، اونوقت یک کاربر شیطون به راحتی می‌تونه تمام مطالب شما رو پاک کنه!!! مثلا کافیه یه ایمیل به شما بزنه که داخلش مثلا هزارتا عکس با ابعاد 0×0 گذاشته باشه که با لود هر کدوم، یه مطلب شما پاک میشه؛ <img width=0 height=0 border=0 src="http://site.com/admin/delete/1" /> <img width=0 height=0 border=0 src="http://site.com/admin/delete/2" /> <img width=0 height=0 border=0 src="http://site.com/admin/delete/3" /> <img width=0 height=0 border=0 src="http://site.com/admin/delete/4" /> ... همچنین فقط مشکل حذف نیست. با باگ CSRF میشه حتی پسورد ادمین رو هم عوض کرد اگر فرم تعویض، پسورد قبلی رو نخواد! کافیه فریمی مخفی در یک صفحه html کار گذاشته بشه که داخل اون فریم، فرم تعویض پسورد باشه و پس از لود صفحه اون فرم با جاوا اسکریپت ثبت بشه! برای حفاظت در مقابل این حمله هم چندین راهکار هست که میشه همشون رو با هم استفاده کرد. از جمله: استفاده از سشن یا یک کد رندوم دیگر که متغیر با زمان هست و ارسالش همراه آدرس برای logout و حذف مطالب و سایر عملیات‌های کاربر. توجه به http_refferer چون وقتی از یه سایت دیگه این آدرس حساس فراخوانی میشه، refferer ش سایتی غیر از سایت شما خواهد بود. استقاده نکردن از cms های متداولی که طریقه حذف و تغییر در آنها شناخته شده است...
  2. برای تمرین باگ Sql Injection و برای اینکه کلی وقتتون جهت پیدا کردن باگ آسیب پذیر گرفته نشه در هر بخش چندین تارگت برای تمرین و نفوذ و هک سایت با باگ Sql Injection ( Hacking Web Application Sql Injection ) را برای شما قرار میدم . اسپم ندین و سوالات رو تنها در این بخش مطرح کنید . مجددا تکرار می کنم از قرار دادن سایتهای ایرانی خودداری فرمایید.
  3. در این تاپیک آموزش یکی از راههای هک و نفوذ سایت هارو که با نام Sql Injection Attack میشناسیم رو در این بخش قرار میدم. تارگت های تمرینی رو میتوانید از این بخش دریافت کنید و تست رو بر روی این تارگت ها انجام بدین . -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- اولین بخش از آموزشهای باگ Sql Injection رو شروع می کنیم . باگ sql زمانی رخ می دهد که برنامه نویس داده های ورودی ( Input Value ) را بدون کنترل مورد پردازش قرار داده و کد نویسی می کند و هکرها یا همون نفوذگرها از همین مشکل کد نویسی استفاده کرده و کنترل کامل سایت یا سرور مورد نظر را در دست میگیرند ونتیجه می گیریم هرکدی که از ورودی های کاربر برای جستجو در بانک اطلاعاتی ( Database ) بدون بررسی و کنترل بکار برده شود احتمالیک حمله موسوم به Sql Injection را در پی خواهد داشت . همچنین ورودی ها می تواند از طریق URL باشد و چه از طریق متد GET و یا چه از طریق متد POST و جهت آشنایی شما یک نمونه کوئری که بدون بررسی ، از متغیرها استفاده میکند و دارای باگ Sql Injection هست را با هم بررسی می کنیم : <?php $postid = $_GET['id']; $result = mysqli_query($con,"SELECT * FROM `post` WHERE `id`=$postid"); ?> به قطعه کد بالا دقت کنید و متوجه می شوید متغیر postid از ورودی id که در url میباشد مقداردهی میشود و همان ورودی که از URL را دریافت میکند به طور مستقیم مورد پردازش قرار می دهد و به این معنی هست که نفوذگر می تواند به طور مستقیم دستورات خود را وارد نماید تا توسط سرور مورد پردازش قرار گیرد و این کار بسیار خطرناک خواهد بود و همچنین به مثال زیر دقت کنید : http://www.Target.com/index.php?id=3 پایان بخش اول از سری آموزشهای حملات Sql Injection

درباره ما

تیم سایبر اسپیریت در سال 1397 توسط جوانان علاقه مند به برنامه نویسی ، طراحی سایت ایجاد شد. شما در سایبر اسپیریت میتوانید آموزش ببینید ، سفارش دهید ، تبدیل به یک برنامه نویس و طراح سایت شوید.هدف اصلی این تیم بالا بردن امنیت کاربران فضای مجازی است!