Mobin@Freedom
این بلاگ در زمینه ی شبکه،امنیت شبکه و برنامه نویسی فعالیت دارد و ضمن ارائه ی اطلاعات پاسخگوی سئوالات شما نیز خواهد بودMobin@Freedom
این بلاگ در زمینه ی شبکه،امنیت شبکه و برنامه نویسی فعالیت دارد و ضمن ارائه ی اطلاعات پاسخگوی سئوالات شما نیز خواهد بودامتحـــــان ها تموم شد!
دوبـــــاره سلام
آقا مـُـــــردم... دیگه امتحان هام تمـــوم شد! خدایی پدرم در اومــــد.بی خیال،همشو گند زدم!
همون طور که می بینید از اوایل خرداد کــــه امتحان ها شروع شد دیگه پستی ارسال نشده.واسه همین یه حال توپ میخوام بهتون بدم کـــه کف کنــید.فکـــــر میکنم به عنوان اولین مقالهء جامع فارسی دربارهء شناسایی سیستم عامل سرور هدف باشه.
الان تقریباْ یک چهارم کـــار تموم شده و دارم ادامشو می نویسم.اگــــه کسی یه نرم افزار قـــــدرتمند برای ساختن فایــــلهای PDF داره بــــده یه ندا بـــده،آخه میخوام از این به بعـــد مقاله ها رو به صورت PDF بــــنویسم و Copyright هم شاملش میشه. ایـــنه!
با تشکر از همراهی دوستان.
امنیت کجــــــاست؟
ســـــلام
امروز یه نرم افزار تست امنـیت که متعلق به خود شرکت مایکروسافت هست رو میخــــــــوام بهتون معرفی کنم.این نرم افزار هم کار باهاش ساده هست و برای کافی نت ها هم بسیار مناسبه،برای این که امکان اسکن کردن یه Domain رو هم داره.شما میتونید نسخه انگلیسی این نرم افزار رو از اینجـــــــا دانـــــــلود کنید و اگه میخواید اطلاعاتی دربارهء این نرم افزار کسب کنید اینجــــــــا رو بکلیکیــــــــــد!
یه چیزی که تــــــوی این نرم افزار توجــــه منــــو به خودش جلب کرد ظاهرش بود،آخــه خیـــلی شبیه به نرم افــــــــزار NeWT هست.نــــــرم افزار NeWT هم یه چیز توی مایه های همین نرم افزاره.اگه خواستین دانلودش کنید اینجا رو کلیک کنید،بعد از پر کردن فرم لینک دانلود برای شما فرستاده میشه.
خــــــوب،از بحث اسکنر و اینا که بگذریـــم میرسیم به موضوع Deface شدن چند سایت توی چند روز گذشته.اول از همه مایکروسافت رو میگم که پنجم خرداد هک شد.خدایی واقعاْ کیف کردم... نه به خــــاطر این که سایت مایکروسافت بود ها، فقط به خاطر این که هکره به سایت صدمه ی نزده بود و به قولی فقط یه امضا زده بود پای شیرین کاریش.
سایت بعدی سایت آشیانه هست که واسهءدومین بار هک شد.دمش گرم هر کی هک کرد،واقعاْ گروه جالبی نبود و به نظر من مدیران سایت فقط به جیب خودشون فکر میکردند نه به بالا بردن سطح دانش یوزرهاشون.حالا کجاشو دیدی؟ یه بار دیگه هم میخواد هک بشه.بقیه> پست رو بخون...
سایت آخری هم سایت سیمرغ هست که همین چند ساعت پیش هک شد. درست موقعی که میخواستم پست بزنم!
دارن زود درستش میکنن،من سریع یه عکس از indexش گرفتم ولی الان هاست ندارم آپلودش کنم.فقط متنی که هکر نوشته بود رو میتونید این پایین بخونید:
HACKED
baz man dashtam az inja migzashtam goftam ye ahvali az hosein khan beporsam,be joone hosein doset daram karetam aliye vali adam ke karesh security e ta hack nashe ghavi nemishe..agha movafagh bashin. rast= ee yeki goft tangesh benvisam ke ye box e khob mohem nist ke linux bashe ya windows ya bsd mohem ieene ke Secure bashe
akhey= ghalbam gereft az bas ra raftam , ma berim ye goshe felan esterahat,, bache nakhand shayad farda ro site to biyam ha:D<= o:p>
albate ye chiz dige dar mored e ashiyane, haji koja miri hey host avaz mikoni ha??? baba = beband daresho..albate agar= khasti mitonam barat securesh konam.. dar<= /span> zemn dar mored e ashiyane ta 3 nashe bazi nashe:D
rasti= shabgardi ya khoban???? Agha man= elahi be fadaye XshabgardX midonam dost <= span class=3DSpellE>nadare esme sitesh inja biyad vali man mizanam
Shabgard.ORG
ISP Util بــــــاگ داره ؟
سلام
همون طور که قول دادم قرار شد یه مطلب دربارهء ISP Util بنویسم.این مطلب یه چیز تو مایه های کشف و گزارش یه باگ هست و دربارهء ISP Util هایی صدق میکنه که بانک اطلاعاتیشون SQL باشه.از اون جایی که من هنوز در زمینه امنیت شبکه اطلاعاتی در حد یه مبتدی هستم شما این مطلب رو زیاد جدی نگیرید! آخه من کسی نیستم که بخوام کار یه گروه برنامه نویسی رو زیر سئوال ببرم.خوب دیگه زیاد حرف زدم.بریم سر اصل قضیه.
چند روز پیش کــــه داشتم با ISP Util اکانتم رو چک میکردم به یه Error برخوردم:
.ERROR: Could not found your Username (cp140510h) in database
همون طور که متوجه شدین این یه پیغام خطای ساده مبنی بر وجود نـــداشتن چنین Username ای توی Data Base هست.همین جا یه هو فکرم رفت طرف SQL Piggy Back که با برگردوندن پیغام های خطاهای بسیار خطرناک میتونه همه چی رو لو بده(مثلاْ مشخص شدن اسم فیلدها).ولی خوب این خطا یه خطای کاملاْ منطقی هست و هیچ مشکلی هم درش نیست.واسه همین با خودم گفتم دستورات SQL رو تست میکنم.شاید اونطوری بتونم به نتیجه ای برسم.با وارد کردن دستورات SQL توی قسمت یوزر و فشار دادن دکمه WEB Report به Error جالبی برخوردم.
» دستوری که وارد کردم این بود:
SELECT * From UID
» که پیغام خطای زیر رو بهم داد :
.ERROR: Could not found your Username (***$*$*$*$*$*&(&)&(&)&() in database
با خودم گفتم شاید چون طول رشته زیاد بوده قاطی کرده.واسه همین یه رشــته الکی وارد کردم تا ببینم واقعاْ این رو به عنوان دستور SQL شناخته و Error رو برگردونده یا نه.
» رشته ای که وارد کردم:
my name is mobin
» و جوابی که گرفتم:
.ERROR: Could not found your Username (my name is mobin) in database
خوب همون طور که می بینید این رو به عنوان یه ورودی معمولی که همون Username باشه شناخت.ولی حالا با اضافه کردن یه سیمی کالن(;) به آخــــر رشته ورودی که در SQL نشان دهندهء پایان یک دستور هست و برای فرستادن بیش از یک دستور به صورت هزمان به Data Base استفاده میشه نتیجه متفاوتی گرفتم.
» رشته ورودی با سیمی کالن:
;my name is mobin
» خروجی :
.ERROR: Could not found your Username (****$*&(&)&(+++()-==@^0) in database
جالبه,نه؟ حالا جالب تر از همه این جاست که اگه یه دستور (دستور،نه رشته معمولی بدون سیمی کالن) غیر معتبر مثل دستور بالا همیشه همین Error رو میده.حالا که از فرستادن دستور SQL رو Data Base از روی پیغام خطا خیالم راحت شدم دستورات SQL دیگه ای رو تست کردم.
» مثل این یکی:
'SELECT * From Users Where UID = 'mobin
» که پیغام خطای زیر رو داد:
ERROR: Could not found your Username (***%@%@%@%@%@&0&0&0&0&0) in database.
باز یه نکته جالب دیگه که هست اینه که هر دستور SQL با یه پیغام جداگانه ظاهر میشه.
» مثل این یکی:
DELETE * From UID
» که پیغام خطای زیر رو داد:
ERROR: Could not found your Username (***&^&^&^&^&^%*%*%*%*%*) in database.
نکاتی مهم از کتاب نفوذگری در شبکه و روشهای مقابله:
۱- "هر واکنش غیر طبیعی نشان دهندهء یک ضعف است و نفوذگر با تمرکز بر آن سعی میکند تا از طریق دستورات و عبارات SQL در قالب داده های ورودی عملیات مورد نظرش را روی بانک اطلاعاتی اعمال کند."
۲- "برای هر نقطه ضعف در برنامه کاربردی, مجموعه ای از دستورات به صورت سعی و خطا امتحان شده و پاسخ آنها برسی میشود تا عملیات موفق و قابل انجام مشخص شود."
خوب،فکر میکنم زیاد هم غیر منطقی نباشه... نظر شما چیه؟
تشکــــر
سلام
امروز دومین امتحانم رو دادم.بد نشد ولی خوبم نشد ,حـــــــالا...الان تازه بعد از چند روز کانکت شدم,خدایا... هوار تا میل اومده بود... که بایــد سریع چک میکردم.نکته جالب اینجاست که فردا تولدمه و خودم یادم نبود! با این حال دوستان ما رو شرمنده کردن و کادویی های بالای ۵00K و 1 مگابایتی برام فرستادن!
از شما هم به خاطر لطفی که به من و وبلاگم دارید ممنونم.جا داره که یه تشکر ازتون بکنم.
اول از دوست خوبــم آقا یاسر ممنونم که بلاگ منو توی بلاگ خودشون معرفی کردند و از همه مهم تر اینکه شماره منزلشونو لطف کردن و من هنوز نتونستم بهشون زنگ بزنم.(یاسر جان یه مورد مشورتی بود که حل شد...واسه تشکر هم که شده یه زنگ بهت میزنم مهندسd:).
مورد دوم تشکر از شما به خاطر نظــــــراتتون هست کــه باعث دلــــــگرمی مــن میشه و منو وا میداره تا بلاگ رو آپدیت کنم.یه سری از بچه ها گفتن که مطالب خیلی سطح بالا هست,والا نمیدونم...شاید واسه اول کار یه خورده سنگینه ولی یه چیزی هست اینه که من دوست ندارم مطالبم مثل اکثر بلاگ ها باشه...یعنی مطلبی باشه که همه یاد داشته باشن یا شنیده باشن.
اگه دوست دارین بـــــا من هــــمراه بشین فکـــر کنم آموزشهای هـــــک و شبکه ی آراز که سایتش جدیداْ با تغییرات جالبی اومده بالا منبع خیلی خوبی برای یاد گرفتن شبکه و هک از پایه باشه.من خودم از همون جا و همون آموزش های شروع کردم و فکر میکنم اگه شما هم بخونــــینشون و یاد بـــــــگیرین راحت بتونین با من همراه بشین.
مطلب بعدی دربارهء ISP Util هست که نمیدونم مینویسمش.سعی میکنم زود بنویسم آخه خیلی برام مطلب جالبیه.
موفق باشید,فعلاْ بابای...