صفحه 1 از 2 12 آخرینآخرین
نمایش نتایج: از شماره 1 تا 10 از مجموع 20
Like Tree24نفر پسندیدند

موضوع: سیستم قوی اینترنتی دانشگاه علوم و فنون (قسمت اول)

  1. #1
    کاربر عادی
    تاریخ عضویت
    2011 May
    محل سکونت
    تهران
    ارسال ها
    303
    تشکر
    34
    تشکر شده 677 بار در 296 پست
    نوشته های وبلاگ
    30


    آيا اين پست براي شما سودمند بود؟ بله | خیر

    سیستم قوی اینترنتی دانشگاه علوم و فنون (قسمت اول)

    با سلامی دوباره خدمت اعضا
    در قسمت اول مجموعه "سیستم قوی اینترنتی دانشگاه علوم و فنون" در مورد وقایع گذشته ی سیستم ثبت نام و سایت دانشگاه میپردازیم ، این موارد از سال ورود بنده یعنی 88 تا حدود اواخر سال 89 به همین صورت بود. البته بنده همینارو یادمه

    1- واقعه اول:
    ایراد بزرگ در قسمت آپلود عکس، که براحتی میتونستین هر نوع فایل با هر نوع پسوندی انتخاب کنید ، یادمه اون زمان سایت دست آقای مهدی زاده و گروهشون بود ، یک روز نشستیم با هم و در مورد امنیت asp.net صحبت کردیم ! میگفت نه ، asp.net قویه و فلان (البته با تواضع عرض میکردن نه با قطعیت) . ما هم گفتیم عملی بهشون نشون بدیم و بنابراین یک فایل اسمبلی ناقابل براشون آپلود کردیم که چشاشون پای سیستم 4تا شده بود ! راه حل هم بهشون نشون دادیم مفت و مجانی و کلی حال کردن و رفتن ساختار گرفتن و نمایش عکس رو درست کردن (راه حل : دسترسی غیر مستقیم)

    2- واقعه دوم:
    وجود باگ مخوف SQLi در سایت که بنده در وبلاگ قدیمی بچه های ورودی 88 بهش اشاره کردم و نمیدونم کی رفت به مسئول سایت گفت؟! هر کی رفت گفت خبرچین خوبی بوده :D باگ بسیار خطرناکی بود و میشد همه چیز رو نابود کرد :D اما ما نکردیم پشیمانیم

    3- واقعه سوم:
    وجود نداشتن captcha در صفحه اول که میشد به راحتی و با روش brute force بیشتر user pass بچه ها رو در آورد ، که جالبه این مورد رو هم بنده در وبلاگ مطرح کردم و بعد از چندی روی سایت captcha گذاشتن بعد از این ما دهان خود را بسته و بر آن شدیم که دیگر باگ های سیستم را لو چی؟ ندهیم!

    4- واقعه چهارم:
    این واقعه جز اسفناک ترین (درست نوشتم؟) وقایع سیستم بود ! آری چیزی نبود جز DDOS ! ترم قبل فکر کنم خاطرتون باشه که هی تاریخ انتخاب واحد رو یک روز یک روز عقب مینداختن ، چون سایت بالا نمیومد ! واقعاً دانشگاهی که (به قول خودشون) این همه اساتید برجسته داره و اساتید این همه ادعا دارند (حتی بعضی ها مانند خدابنده ادعای خدا بودن دارند) نتونستن جلوی این حمله خیلی ساده رو بگیرن و کم مانده بود دست به دامان افرادی همچون کوین میتنیک شوند !
    البته بگم که این حمله کار من نبود اما کار هرکی بود دمش گرم


    با گذشت این همه وقایع جالبه هنـــــــوز سیستم باگ داره و باگ های ناجوری هم داره :p در حد سیستم کلیکی ادگاه ! :o
    بعضی از باگ ها رو بطور ناقص فیکس کردن ، برای اینکه قسمت اول پر بار شه به واقعه سوم میپردازیم !

    واقعه سوم : captcha برای جلوگیری از حملات brute force ؟!
    حمله brute force: یعنی یک سرور یا هاست میگیری ، یه اسکریپت هم مینویسی که به سایت وصل شه مثل روبوت ، بعد اتو هی user pass متفاوت چک کنه تا به pass مورد نظر برسه و بعد اینکه رسید اون user pass رو میفرسته به میلت !
    این captcha چون تصویره ، جلوی روبوت رو میگیره ، میگه اول بگو تو تصویرم چی میبینی؟ بعداً user pass که وارد کردی چک میکنم !
    خوب تا اینجا شاید فکر کنید که دیگه تمومه ، brute force رفت پی کارش ، اما نه :67:
    کافیه برین سایت دانشگاه و رو captcha کلیک راست کنین ، یک url میبینین؟
    مثلاً این :
    http://amoozesh.ustmb.ac.ir/CaptchaI...3-727bf3f1941c
    توی زیر شاخه های brute force یک روش هست به اسم dictionary ! خوب ، ما زرنگی میکنیم میایم یک دیتابیس مثلاً با یک جدولی که 1000تا row از این آدرس هایی که گذاشتم تولید میکنیم به همراه متن داخلشون و بعد به اسکریپت brute force وصل میکنیم
    خوب وقتی اسکریپت به سایت وصل شد captcha با مثلاً این لینک لود میشه(اون db که تهیه شد میشه دیکشنری) :
    http://amoozesh.ustmb.ac.ir/CaptchaI...3-727bf3f1941c
    این لینک در db چک میشه اگر بود متن مورد نظر پیدا شده و brute force انجام میشه واگرنه صفحه رو رفرش میکنه تا به url خودش برسه !
    تمام !!!

    نکته : روش brute force جز طولانی ترین و سخت ترین متد های هکینگ به شمار میره که احتیاج به سیستم با سرعت بسیار بسیار بالا داره ! این روش فقط برای اطلاعات شما قرار داده شد ، پیشنهاد میکنم به دنبال این روش نروید که عاقبت به خیر نخواهید شد.

    یا حق

    موضوعات مشابه:
    Hossein, Pouya و NIIT این نویسه را میپسندند.
    http://payline.ir

    the poor people are often the most generous

  2. #2
    ADMIN
    تاریخ عضویت
    2011 October
    محل سکونت
    گیلان
    سن
    20
    ارسال ها
    122
    تشکر
    742
    تشکر شده 456 بار در 118 پست


    آيا اين پست براي شما سودمند بود؟ بله | خیر
    مشکلات امنیتی آموزش:

    1) مشاهده تمام پیام های ارسال شده ی دانشجوها به اساتید !!!!! (خسته شدم اینقدر منت کشی بچه ها رو خوندم . نمیخوان دسترسی رو ببندن؟؟؟؟؟)
    2) وجود باگ XSS !!!!!!!!!!!!!!:redface:

    Hossein, F.Fakhari, payamdarabi و 2 نفر دیگر این نویسه را می پسندند.

  3. #3
    مدیر بازنشسته
    تاریخ عضویت
    2010 January
    محل سکونت
    نت
    سن
    27
    ارسال ها
    1,172
    تشکر
    2,692
    تشکر شده 2,038 بار در 807 پست
    نوشته های وبلاگ
    29


    آيا اين پست براي شما سودمند بود؟ بله | خیر
    نقل قول نوشته اصلی توسط pouya.d نمایش پست ها
    مشکلات امنیتی آموزش:

    1) مشاهده تمام پیام های ارسال شده ی دانشجوها به اساتید !!!!! (خسته شدم اینقدر منت کشی بچه ها رو خوندم . نمیخوان دسترسی رو ببندن؟؟؟؟؟)
    2) وجود باگ XSS !!!!!!!!!!!!!!
    اینا جدیدا کشف شده ؟

    Mahshid این نویسه را میپسندد.
    وقتی خدا هست غصه چرا؟
    امام باقر علیه السلام : هر كس به خدا توكل كند، مغلوب نشود و هر كس به خدا توسل جويد، شكست نخورد.
    «اللَّهُ وَلِیُّ الْمُؤْمِنینَ؛ خدا یاور مؤمنان است.»
    و کسی که به چنین سرپرستی روی آورده، جایی برای استرس و اضطراب باقی نگذاشته است. و دلش متوجه غم و اندوه نمی شود. و توکل نیز چیزی جز دل بستن به همین سرپرست عالی نیست که برای انسان در تمام امور کافی است:
    «أَ لَیْسَ اللَّهُ بِكافٍ عَبْدَهُ؛ آیا خدا براى نگهدارى بنده‏اش كافى نیست؟»

    پس عَلَيْكَ تَوَكَّلْتُ یا الله

  4. #4
    ADMIN
    تاریخ عضویت
    2011 October
    محل سکونت
    گیلان
    سن
    20
    ارسال ها
    122
    تشکر
    742
    تشکر شده 456 بار در 118 پست


    آيا اين پست براي شما سودمند بود؟ بله | خیر
    نقل قول نوشته اصلی توسط Master نمایش پست ها
    نقل قول نوشته اصلی توسط pouya.d نمایش پست ها
    مشکلات امنیتی آموزش:

    1) مشاهده تمام پیام های ارسال شده ی دانشجوها به اساتید !!!!! (خسته شدم اینقدر منت کشی بچه ها رو خوندم . نمیخوان دسترسی رو ببندن؟؟؟؟؟)
    2) وجود باگ XSS !!!!!!!!!!!!!!
    اینا جدیدا کشف شده ؟
    xss رو که دیروز پیدا کردم .
    اما اون پیام ها که واقعا ضایع بود . با تغییر عدد میشه تمام پیام ها رو دید.

    Hossein, Mahshid, DEATH و 1 نفر دیگر این نویسه را می پسندند.

  5. #5
    Moderator
    تاریخ عضویت
    2012 January
    محل سکونت
    آمل
    سن
    21
    ارسال ها
    241
    تشکر
    1,313
    تشکر شده 811 بار در 303 پست
    نوشته های وبلاگ
    9


    آيا اين پست براي شما سودمند بود؟ بله | خیر
    نقل قول نوشته اصلی توسط pouya.d نمایش پست ها
    نقل قول نوشته اصلی توسط Master نمایش پست ها
    نقل قول نوشته اصلی توسط pouya.d نمایش پست ها
    مشکلات امنیتی آموزش:

    1) مشاهده تمام پیام های ارسال شده ی دانشجوها به اساتید !!!!! (خسته شدم اینقدر منت کشی بچه ها رو خوندم . نمیخوان دسترسی رو ببندن؟؟؟؟؟)
    2) وجود باگ XSS !!!!!!!!!!!!!!
    اینا جدیدا کشف شده ؟
    xss رو که دیروز پیدا کردم .
    اما اون پیام ها که واقعا ضایع بود . با تغییر عدد میشه تمام پیام ها رو دید.
    واقعا؟؟:redface:
    با تغییر کدوم عدد ها !!!!!!!!!!!

    **Life is beautiful with all its problems**

    weblog

    homepage
    Perhaps alone pay for my life


  6. #6
    ADMIN
    تاریخ عضویت
    2011 October
    محل سکونت
    گیلان
    سن
    20
    ارسال ها
    122
    تشکر
    742
    تشکر شده 456 بار در 118 پست


    آيا اين پست براي شما سودمند بود؟ بله | خیر
    نقل قول نوشته اصلی توسط mitnick نمایش پست ها
    نقل قول نوشته اصلی توسط pouya.d نمایش پست ها
    نقل قول نوشته اصلی توسط Master نمایش پست ها
    نقل قول نوشته اصلی توسط pouya.d نمایش پست ها
    مشکلات امنیتی آموزش:

    1) مشاهده تمام پیام های ارسال شده ی دانشجوها به اساتید !!!!! (خسته شدم اینقدر منت کشی بچه ها رو خوندم . نمیخوان دسترسی رو ببندن؟؟؟؟؟)
    2) وجود باگ XSS !!!!!!!!!!!!!!
    اینا جدیدا کشف شده ؟
    xss رو که دیروز پیدا کردم .
    اما اون پیام ها که واقعا ضایع بود . با تغییر عدد میشه تمام پیام ها رو دید.
    واقعا؟؟
    با تغییر کدوم عدد ها !!!!!!!!!!!
    یعنی میخواین پیام های خصوصی بچه ها رو بخونین ؟؟؟؟؟؟؟؟

    ویرایش توسط Pouya : 3rd July 2012 در ساعت 09:38 PM

  7. #7
    Moderator
    تاریخ عضویت
    2012 January
    محل سکونت
    آمل
    سن
    21
    ارسال ها
    241
    تشکر
    1,313
    تشکر شده 811 بار در 303 پست
    نوشته های وبلاگ
    9


    آيا اين پست براي شما سودمند بود؟ بله | خیر

    خب چه اشکال داره؟؟؟
    شما خوندین چی شد مگه؟

    **Life is beautiful with all its problems**

    weblog

    homepage
    Perhaps alone pay for my life


  8. #8
    ADMIN
    تاریخ عضویت
    2011 October
    محل سکونت
    گیلان
    سن
    20
    ارسال ها
    122
    تشکر
    742
    تشکر شده 456 بار در 118 پست


    آيا اين پست براي شما سودمند بود؟ بله | خیر
    نقل قول نوشته اصلی توسط mitnick نمایش پست ها

    خب چه اشکال داره؟؟؟
    شما خوندین چی شد مگه؟
    من؟؟؟؟؟؟؟

    من که نمی خونم . دانلود میکنم

    ویرایش توسط Pouya : 3rd July 2012 در ساعت 09:38 PM

  9. #9
    Moderator
    تاریخ عضویت
    2012 January
    محل سکونت
    آمل
    سن
    21
    ارسال ها
    241
    تشکر
    1,313
    تشکر شده 811 بار در 303 پست
    نوشته های وبلاگ
    9


    آيا اين پست براي شما سودمند بود؟ بله | خیر
    نقل قول نوشته اصلی توسط pouya.d نمایش پست ها
    نقل قول نوشته اصلی توسط mitnick نمایش پست ها

    خب چه اشکال داره؟؟؟
    شما خوندین چی شد مگه؟
    من؟؟؟؟؟؟؟

    من که نمی خونم . دانلود میکنم
    !!!!!!!!!!!!!!
    اونوقت از کجا دانلود میکنید؟!!

    **Life is beautiful with all its problems**

    weblog

    homepage
    Perhaps alone pay for my life


  10. #10
    ADMIN
    تاریخ عضویت
    2011 October
    محل سکونت
    گیلان
    سن
    20
    ارسال ها
    122
    تشکر
    742
    تشکر شده 456 بار در 118 پست


    آيا اين پست براي شما سودمند بود؟ بله | خیر
    از آموزش


 

 
صفحه 1 از 2 12 آخرینآخرین

کاربران برچسب خورده در این موضوع

کلمات کلیدی این موضوع

علاقه مندی ها (Bookmarks)

علاقه مندی ها (Bookmarks)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  


Powered by vBulletin
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Content Relevant URLs by vBSEO 3.6.0
Persian Language By Ustmb.ir
این انجمن کاملا مستقل بوده و هیچ ارتباطی با دانشگاه علوم و فنون مازندران و مسئولان آن ندارد..این انجمن و تمامی محتوای تولید شده در آن توسط دانشجویان فعلی و فارغ التحصیل ادوار گذشته این دانشگاه برای استفاده دانشجویان جدید این دانشگاه و جامعه دانشگاهی کشور فراهم شده است.لطفا برای اطلاعات بیشتر در رابطه با ماهیت انجمن با مدیریت انجمن ارتباط برقرار کنید
ساعت 05:01 PM بر حسب GMT +4.5 می باشد.