رفتن به مطلب
  • 0

هک شدن اطلاعات سرور با لینک های درون سورس


fun_code

سوال

سلام

دوستان بنده تصمیم دارم یک اپلیکیشن که با دیتابیس سرور در ارتباط خواهد بود را کدنویسی کنم.

رسیدم به بخش ارتباط با سرور و طبق بررسی و مطالعه متوجه شدم اگر ارتباط از طریق فایل های PHP و متد PostString و Download و ... باشه با باز کردن فایل apk و مطالعه سورس جاوا میشه لینک های PHP رو همراه با پارامترهاش بدست آورد.

و مسیر برای هک دیتای موجود در سرور هموار میشه.

اما در همین وب سایت بیشتر آموزش های ارتباط با دیتابیس آنلاین با فایل های PHP هست !

با این تفاسیر آیا ،

1. ارتباط با سرور از طریق PHP رو میشه امن کرد ؟

2. راهی وجود داره لینک در سورس نباشه ؟

3. از دید شما با دانستن لینک و پارامترها نمیشه هک کرد ؟

یکی از وب سایت ها نوشته بود با یک روش میشه یک فایل رو از طریق پارامتر PHP در سرور آپلود کرد !

پیشاپیش از راهنمایی شما عزیزان سپاسگزارم.

لینک ارسال
به اشتراک گذاری در سایت های دیگر

4 پاسخ به این سوال تاکنون داده شده است

ارسال های توصیه شده

در در 7 اسفند 1398 در 19:38، fun_code گفته است :

سلام

دوستان بنده تصمیم دارم یک اپلیکیشن که با دیتابیس سرور در ارتباط خواهد بود را کدنویسی کنم.

رسیدم به بخش ارتباط با سرور و طبق بررسی و مطالعه متوجه شدم اگر ارتباط از طریق فایل های PHP و متد PostString و Download و ... باشه با باز کردن فایل apk و مطالعه سورس جاوا میشه لینک های PHP رو همراه با پارامترهاش بدست آورد.

و مسیر برای هک دیتای موجود در سرور هموار میشه.

اما در همین وب سایت بیشتر آموزش های ارتباط با دیتابیس آنلاین با فایل های PHP هست !

با این تفاسیر آیا ،

1. ارتباط با سرور از طریق PHP رو میشه امن کرد ؟

2. راهی وجود داره لینک در سورس نباشه ؟

3. از دید شما با دانستن لینک و پارامترها نمیشه هک کرد ؟

یکی از وب سایت ها نوشته بود با یک روش میشه یک فایل رو از طریق پارامتر PHP در سرور آپلود کرد !

پیشاپیش از راهنمایی شما عزیزان سپاسگزارم.

نه دیدن لینک و پارامتر ها ربطی به هک اطلاعات سرور نداره. همونطور که شما ادرس سایتها رو میبینید ولی نمیتونید هکش کنید.

اگه وارد کردن دستی لینک ها با پارامتر ها ممکنه و میتونه مشکل ساز بشه باز اون بحثش جداست فکر کنم اگه منظورتون اینه

شدن بله که میشه و زیادم استفاده میشه. باید سمت php در صورت ارسال فایل، فایل های ارسالی رو بررسی کنید و هیتلر بزارید. مخصوصا خود فایل های اجرایی php ارسال و ذخیره بشه در سرور میتونه مشکل ساز بشه و با اون سرور هک بشه

خود php امنه و به صورت پیشفرض مشکلی نداره

لینک ارسال
به اشتراک گذاری در سایت های دیگر

در 12 ساعت قبل، rasool.g گفته است :

نه دیدن لینک و پارامتر ها ربطی به هک اطلاعات سرور نداره. همونطور که شما ادرس سایتها رو میبینید ولی نمیتونید هکش کنید.

اگه وارد کردن دستی لینک ها با پارامتر ها ممکنه و میتونه مشکل ساز بشه باز اون بحثش جداست فکر کنم اگه منظورتون اینه

شدن بله که میشه و زیادم استفاده میشه. باید سمت php در صورت ارسال فایل، فایل های ارسالی رو بررسی کنید و هیتلر بزارید. مخصوصا خود فایل اجرایی php ارسال و ذخیره بشه در سرور میتونه مشکل ساز بشه و با اون سرور هک بشه

خود php امنه و به صورت پیشفرض مشکلی نداره

سلام

ممنون از راهنماییتون

حس میکنم ایجاد امنیت برای php کار سختیه.

بنده در php کدی ننوشتم که اگر فالی ارسال شد ذخیرش کنه... نمیدونمم چطور میتونن فایل ارسال و تازه در سرور ذخیرش هم بکنن.

باید دنبال کدی باشم که کلا نتونه فایلی از طریق آدرس php ارسال کنه...

چون راحت میتونه لینک رو در مرورگر کامپیوتر بنویسه و دردسر ایجاد کنه.

مثلا لینک ثبت نام رو که میبینه ، یه کد بنویسه که دائما ثبت نام انجام بده...

لینک ارسال
به اشتراک گذاری در سایت های دیگر

در 23 دقیقه قبل، fun_code گفته است :

سلام

ممنون از راهنماییتون

حس میکنم ایجاد امنیت برای php کار سختیه.

بنده در php کدی ننوشتم که اگر فالی ارسال شد ذخیرش کنه... نمیدونمم چطور میتونن فایل ارسال و تازه در سرور ذخیرش هم بکنن.

باید دنبال کدی باشم که کلا نتونه فایلی از طریق آدرس php ارسال کنه...

چون راحت میتونه لینک رو در مرورگر کامپیوتر بنویسه و دردسر ایجاد کنه.

مثلا لینک ثبت نام رو که میبینه ، یه کد بنویسه که دائما ثبت نام انجام بده...

خواهش میکنم ♥

نه اشتباه می کنید. ارسال فایل فقط در صورتی امکان پذیره که شما به عنوان مدیر هاست یا سرور یک فایل php برای ارسال فایل بسازید و کد های دریافت و ذخیره فایل رو در اون بنویسید.

نکتش هم فقط اینه در صورت نوشتن چنین فایل و کدی، و قرار دادن اون در سرور. باید تو کد های php بررسی کنید مثلا فایل ها فقط عکس باشه یا فیلم (بستگی به نیازتون - میتونید سایز و چیز های دیگه رو هم بررسی کنید) بعد ذخیرش کنید

اگر مبانی پایه php  - سرور و هاست رو با خوندن چند تا کتاب و منبع یاد بگیرید . میبینید اتفاقا امنیت اون زیاد پیچیده هم نیستش و با رعایت یکسری نکات میتونید امنیت کامل یا حداقل قابل قبولی رو در سمت سرور به راحتی پیاده کنید. میتونید یه لوکال سرور مثل xampp نصب کنید و با مطالعه سایت https://www.w3schools.com/ شروع کنید.

با داشتن اطلاعات اکانت ftb server هم میشه فایل ارسال کرد به هاست یا سرور

در مورد قسمت دوم سوالتون مثل لینک ثبت نام و ... باید بیشتر فکر کنم فعلا چون سوال یذره کلی هم میشه :) :fekr:

لینک ارسال
به اشتراک گذاری در سایت های دیگر

دوست عزیزمون خیلی کامل جواب دادن ، من  هم بارها تجربه ی هک شدن داشتم اما بعد از امن کردن فایل php دیگه این اتفاق نیوفتاد.
در تکمیل صحبت دوستمون باید بگم که شما باید اینقدر فایل php تون رو امن بنوسین که اگه اطلاعات از طریق منبع دیگه ای به فایل تزریق بشه هیج فرقی براتون نداشته باشه !
درواقع باید ورودی هاتون رو توی php کنترل کنین نه در اپلیکیشن ! که کاراکتر کم ، خطرناک ، فاصله و و و نداشته باشه تا به ساختار اطلاعاتیتون آسیب نرسه .
در رابطه با نگرانی آپلود فایل هم میتونی از .htaccess برای امن کردن بیشتر قدرت بگیری ( اگه زمانی فایل php داشته که دسترسی آپلود درش وجود داشت ) ، که بازم بنظرم اینکار لازم نیست اگه ورودی های فایل php کنترل و فــیــلــتر بشه.

لینک ارسال
به اشتراک گذاری در سایت های دیگر

بایگانی شده

این موضوع بایگانی و قفل شده و دیگر امکان ارسال پاسخ نیست.

  • کاربران آنلاین در این صفحه   0 کاربر

    • هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.
×
×
  • اضافه کردن...