جلو گیری از هک مدیریت و امن کردن چت روم
صفحه اول تماس با ما RSS قالب وبلاگ
wellcom to beny abzar
یه بنی ابزار خوش امدید.
beny يکشنبه 30 مهر 1391

خب ای تی چت یه سری مشکلاتی داره اما بدترین مشکل ان پسورد نداشتن پنل مدیریت میباشد و فایل های که در مسیر اصلی قرار دارن

برای مثال وقتی با اکانت مدیریت وارد چت روم بشیم پسوردی برای ورود به پنل نیمخوادو با استفاده از کوکی و درجه ی که لاگین کردیم محاسبه میکنه و لینک پنل میده

اما خب چرا این لینک رو به ما میده؟ چون :  در فایل جی اس مربوط به داخل چت روم یک خط مربوط به منو مدیریت هست به این شکل :‌

// Adminbereich
if (self.userPrivilegienGlobal==”gast”){
$(“form_right”).innerHTML+=”   \“;
$(“link_admin”).onclick = function(){
var hoehe = $(‘chatinhalt’).getHeight();
var breite = $(‘chatinhalt’).getWidth();
var win_admin = new Window({url: “./?AdminIndex”, className: self.win_style, width:breite, height:hoehe, top:20, left:10, resizable: true, showEffect:Effect.Appear, hideEffect: Effect.Fade, showEffectOptions: {duration:0.5}, hideEffectOptions: {duration:0.5}, draggable: true, minimizable: true, maximizable: true, destroyOnClose: true });
//win_prop.maximize();
win_admin.show();
}
}

خب این یعنی وقتی اگه کسی که لاگین کرد و درجه ی مدیریت داشت پنل مدیریت لینکش داخل چت روم اضافه بشه که بنده توی لوکال بلاخره بعد تست های بسیار زیاد تونستم دور بزنم این قسمت را !!(تا حالا کسی این کارو نتونسته)

مورد بعدی اینکه طرف اگه کمی وارد باشه میتونه با استفاده از مهندسی اجتماعی پسورد ادمین رو بزنه ویا اگه بتونه کوکی های ادمین رو بزنه بازم کارای زیادی میشه باهاش کرد

مورد بعدی هم در مورد اسنیف کردن ادمین ها و ناظر هاست (که توضیحات زیاد میشه اینجا نمیشه بگیم)

خب جدیدا یک اکسپلویتی که بیرون اومده و میشه باهاش شل اپلود کرد در این مسیر

www.domain.com/styles/admin_tpl/createNewSmilies.tpl

و از این مسیر شل اپلود میکنن که بهش میگن باگ rfu

البته من تست نکردم شاید باگ xss هم داشته باشن

خب برای مقابله با این روش شما باید سطرح دسترسی پوشه شکلک را از حالت ۷۷۷ در بیارید و بزارید روی ۷۵۵ و داخل تمامی فایل ها  و htaccess را نیز

روی ۶۴۴ بگذارید

حالا برای اینکه این مسیر رو ببندیم میاییم رو پوشه admin_tpl پسورد میزاریم )protect password)

بعد از انجام این کار بازم کارای دیگه ای هم میتوانید بکنید

داخل admin_tpl فایل index را باز کرده  واز داخل ان میتوانید محدودیت های زیادی اعمال کنید بطوری که وقتی که حتی با اکانت مدیریت وارد چت روم شد از اومدنش پشیمون بشه (یعنی هیچ تغیراتی نتونه بده) اما حذف کردن قسمت اپلود شکلک و قسمت تنظیمات عمومی چت تا حد ۹۹% جلوی اپلود شل را میگیره

نکته مهم: ما اینجا تا جایی که میشه آموزش های مفید و کاربردی مینویسم و تا حد ممکن از آموزش خرابکاری و هک چت روم پرهیز میکنیم و خوشحالم شما دوستان این سایت رو به بقیه دوستانی که روم هاشون مشکل دارن  معرفی کنید.

شنیدم بعد تهیه فیلم اموزشی بستن لیست در همین سایت وراه مقابله با ان . افراد مزاحم با یادگیری این روش رفتن و چت روم های مردم را اذیت کردند و به جای که این سایت رو به دیگران معرفی کنن خودشون راه مقابله را از اینجا رایگان یاد میگیرن و میرن روم مردم اذیت میکنن و ازشون پول میگیرن راهشو ببندن

پس دوستان لطفا در خواست اموزش هک ندید دیگه چون از فیلم قبلی ما سو استفاده های زیادی شد

با از این به بعد بیشتر روی بالا بردن امنیت چت روم آموزش خواهیم نوشت

موفق باشید . ای تی چت

ارسال نظر
نام شما :
آدرس وب سایت :
پست الکترونیک :
پیام شما :
کد امنیتی :