MTSN

مباحث مربوط به تیم توسعه نیوک
نمایه کاربر
Ali-MSh
کاربر فعال
کاربر فعال
پست: 444
تاریخ عضویت: شنبه 21 بهمن 1385, 12:00 am
محل اقامت: Tehran
تشکر کرده: 1 دفعه
تشکر شده: 48 دفعه
تماس:

MTSN

پست توسط Ali-MSh » چهار شنبه 2 دی 1388, 2:09 am

سلام

این MTSN ما قراره یکم تغییرات بکنه
با صحبت های امیر قراره که نگهبان نیوک کلا برداشته بشه و فقط ام تی اس ان مسئولیت محافظت از این پرتال رو داشته باشه .
بخاطر همین شروع به تحقیقات هم در مورد امنیت کردم
چیزی که به نظر میاد درش ضعف داشته باشه Session Hijacking و یکم کوکی هست که حداقل تا الان با اینها به مشکل بر نخوردیم البته به علاوه ی حملات XSS که خوشبختانه در هر دو انگار هکر باهوش دنبال خرابکاری تو نیوک نبوده
در هر صورت اینجا و در این تاپیک خوشحال میشم اگر کسی نظری داره مطرح کنه تا در موردش بحث کنیم


علي شفق
بخوانید
نمایه کاربر
irteam_online
کاربر خیلی فعال
پست: 5150
تاریخ عضویت: پنج شنبه 9 فروردین 1386, 6:51 am
محل اقامت: root
تشکر کرده: 108 دفعه
تشکر شده: 2002 دفعه
تماس:

پست توسط irteam_online » چهار شنبه 2 دی 1388, 3:14 am

چیزی که به نظر میاد درش ضعف داشته باشه SessionHijacking و یکم کوکی هست که حداقل تا الان با اینها به مشکل بر نخوردیمالبته به علاوه ی حملات XSS که خوشبختانه در هر دو انگار هکر باهوش دنبالخرابکاری تو نیوک نبوده

باید رو این موضوع بیشتر کار بشه تا MTSN کلاً از ران شد هرگونه کد اسکریپتی جلوگیری کنه که البته این کار هم انجام میشه باز یه سری باگ رو اونروز ضمیمه کردم تو تاپیک و اینکه با استفاده از این باگ هکر نمی تونه خرابکاری در نیوک انجام بده و واقع این باگ ها جزو کلاینت هکینگ محسوب میشه و در خرابکاری خود CMS نقشی ندارند .
نمایه کاربر
Ali-MSh
کاربر فعال
کاربر فعال
پست: 444
تاریخ عضویت: شنبه 21 بهمن 1385, 12:00 am
محل اقامت: Tehran
تشکر کرده: 1 دفعه
تشکر شده: 48 دفعه
تماس:

پست توسط Ali-MSh » چهار شنبه 2 دی 1388, 12:02 pm

اونها رو بررسی کردم
دنبال حملات مدرن تر هستم تا ببینم روششون به چه صورته . البته اگه بشه میخوام MTSN رو اجرا شدن کوئری ها هم نظارت داشته باشه که حتما اگه شد بهش اضافه میکنم
علي شفق
بخوانید
نمایه کاربر
sam_pontiac
مدیر بازنشسته
مدیر بازنشسته
پست: 2695
تاریخ عضویت: یک شنبه 19 آبان 1387, 12:00 am
محل اقامت: سایبر !
تشکر کرده: 320 دفعه
تشکر شده: 977 دفعه

پست توسط sam_pontiac » پنج شنبه 3 دی 1388, 3:06 am

سلام علی جان
البته با اجازه اساتید عزیزم ، یه سری پیشنهادات دارم برای امنیت ، که اگر لازم دونستید ، اعمال کنید ، اگر هم نه که هیچ
یه نظر کلی دارم ، کلا روی login attemp ها یه بازنگری کنید ، البته برای مدیریت وجود داره و بعد از چند بار پس ورد اشتباه Begone میده ولی قفل نمیکنه ! و باز هم با ریفرش صفحه میشه دوباره تکرار رو انجام داد ، فکر میکنم این بخش یعنی مدیریت ، باید دارای محدودیت های بیشتری نسبت به لاگین کاربران معمولی داشته باشه ، ولی مهرداد جان هم تو اون تاپیک اشاره کرده بودن روش ، این نداشتن محدودیت برای لاگین ، تویتر هم ترکوند !
یکی هم در مورد بازنگری کپچا یا همون کد امنیتی هست ، ببینید حالا که واقعا داره نیوک تغییر میکنه ، پس از این چیزا هم ساده نگذریم و نگیم مهم نیست و کسی کاری نمیکنه ، مطمئنا ، رقبای شکست خورده ، با ورژن متفاوت سیستم روبرو بشن ، مطمئنا مثل چند روز بعد از 8.2 یه سری شایعات رو میسازن ، باید حد اقل کاری کرد که اینطور چیزا برای کاربرا فوق العاده فوق العاده شفاف سازی بشه که هر مزخرفی رو قبول نکنند.کد امنیتی عکس ، یه جورائی میشه گفت ضعیف هست ، بهتر نیست به سوالات درست و حسابی تبدیل بشه ؟ سوالاتی از کاربران ! که قبلا هم مطرح کردم.
خصوصا در مورد اون ریکوئست فرم ها ، این ها خطر آفرین هست که خودتون هم کاملا در جریاناتش هستید.
یک سری چیزها رو باید محدود کنیم ، که اگر لازم میدونید ، من تو پیغام خصوصی برات بفرستم علی جان و یا همین جا اعلام کنم.
در مورد امنیت ، لازمه که یکسری تعاریف رو هم تو htaccess بیاریم که این زیاد مهم و سخت هم نیست و میشه براحتی انجام داد با چند تا دستور ولی به نظر من که کوچکترین عضو اینجا هستم ، باید اعمال بشه.
صلوات ، نثار روح گذشتگان
از جمله
پدرم...
نمایه کاربر
Ali-MSh
کاربر فعال
کاربر فعال
پست: 444
تاریخ عضویت: شنبه 21 بهمن 1385, 12:00 am
محل اقامت: Tehran
تشکر کرده: 1 دفعه
تشکر شده: 48 دفعه
تماس:

پست توسط Ali-MSh » پنج شنبه 3 دی 1388, 4:13 pm

- محدودیت دفعات لاگین و کد های امنیتی که دوتاش داخل خود نیوک باید تغییر کنن
در مورد کدهای امنیتی میشه یه ماژول درست کرد برای سوال و جواب یا داخل همین MTSN تعبیه کرد یا بطور کلی از عکسهای مثلا با فونت فارسی استفاده کرد

بقیش رو هم همینجا بگو امین جان
علي شفق
بخوانید
نمایه کاربر
sam_pontiac
مدیر بازنشسته
مدیر بازنشسته
پست: 2695
تاریخ عضویت: یک شنبه 19 آبان 1387, 12:00 am
محل اقامت: سایبر !
تشکر کرده: 320 دفعه
تشکر شده: 977 دفعه

پست توسط sam_pontiac » پنج شنبه 3 دی 1388, 5:09 pm

خب خیلی بهتر میشه اینطوری.
با توجه به پ.خ :
((((((محدودیت زمانی برای IP تو فرمهایی مثل کامنت ، و یا حتی ارسال تاپیک فوروم ( که مبحثش جداست ) ، عضویت ، ارسال خبر !))))
ولی کلهم اجمعین این ماژول دیتابیس رو یه بازنگری روش انجام بشه بهتره ! فکر نکنم زیاد وقت ببره ، اصلا این بک آپ گیری از دیتابیس رو از مدیریت حذف کنیم خیلی بهتره !
صلوات ، نثار روح گذشتگان
از جمله
پدرم...
نمایه کاربر
shahab
مدیر بازنشسته
مدیر بازنشسته
پست: 1339
تاریخ عضویت: یک شنبه 1 مهر 1386, 12:00 am
محل اقامت: ایران - مشهد
تشکر کرده: 44 دفعه
تشکر شده: 272 دفعه
تماس:

پست توسط shahab » پنج شنبه 3 دی 1388, 6:03 pm

برعکس من میگم اون باشه یک برنامه مجزا از نوک داشته باشیم که اون بیاد بک اپ رو آپلود کنه
نمایه کاربر
Ali-MSh
کاربر فعال
کاربر فعال
پست: 444
تاریخ عضویت: شنبه 21 بهمن 1385, 12:00 am
محل اقامت: Tehran
تشکر کرده: 1 دفعه
تشکر شده: 48 دفعه
تماس:

پست توسط Ali-MSh » پنج شنبه 3 دی 1388, 7:13 pm

نه شهاب جان منظور امین اینه که درست نیست هر کس که تو سایت مدیر میشه بتونه از دیتا بیس بک آپ بگیره
علي شفق
بخوانید
نمایه کاربر
sam_pontiac
مدیر بازنشسته
مدیر بازنشسته
پست: 2695
تاریخ عضویت: یک شنبه 19 آبان 1387, 12:00 am
محل اقامت: سایبر !
تشکر کرده: 320 دفعه
تشکر شده: 977 دفعه

پست توسط sam_pontiac » پنج شنبه 3 دی 1388, 10:12 pm

نه شهاب جان منظور امین اینه که درست نیست هر کس که تو سایت مدیر میشه بتونه از دیتا بیس بک آپ بگیره

دقیقا ، اگر پست من رو ببینید ، 2 حالت گفتم ، گفتم یا برش داریم ، یا اینکه GOD ADMIN فقط بتونه استفاده کنه.
صلوات ، نثار روح گذشتگان
از جمله
پدرم...
نمایه کاربر
starmax
مدیر بازنشسته
مدیر بازنشسته
پست: 2659
تاریخ عضویت: جمعه 15 شهریور 1387, 12:00 am
محل اقامت: من چه میدونم!
تشکر کرده: 108 دفعه
تشکر شده: 827 دفعه
تماس:

پست توسط starmax » سه شنبه 8 دی 1388, 1:17 am

بعضی از بخشها در پنل مانند لینکدونی فقط مختص مدیر کل هست و یا ... مثلا کسی وقتی کسی رو مدیر میکنه تا مدیر اصلی نشه نمیتونه به لینکدونی و ... دسترسی داشته باشه.اگر بشه پنل رو مجزاتر کرد عالی میشد.مثلا به بیشتر بخشها مدیر اصلی بتونه مدیر دیگر رو انتخاب کنه تا به آنها دسترسی داشته باشه..
در ضمن ماژول چت روم من الان 1 هفتست دارم روش کار میکنم اصلا متچ نمیشه. حتی نسخه های قدیمی گیر اوردم که مال نیوک هست اما رو این 8.2 کار نمیده.کسی ماژولش رو داره؟ اگر داره میتونه آمادش کنه لطفا بسازه چون واقعا بهش احتیاجه اگرم نمیتونه امادش کنه بزاره من آمادش میکنم.متاسفانه نسخه های فلش و .. هیچ کدوم رو نیوک کار نمیکنه.
شرمنده نمیدونم جاش اینجا بود بگم یا نه چون زیاد متوجه نشدم کجا جای چی هست!اگر اینجا جاش نیست انتقال بدید جاش بفهمیم[img]modules/Forums/images/smiles/icon_smile.gif[/img]
بروزترین سایت دانلود نرم افزار ایران
بزرگترین انجمن گفتگوی آزاد ایران


---> www.deltafoxy.com
موضوع جدید ارسال پست

بازگشت به “تیم توسعه نیوک - Development Team”