نام نویسنده : ایمان شکر
منبع : کتاب هکر ( مک گرو هیل )
ملاحظات :
لازم به تذکر است که کلیه مطالب این مقاله صرفا جنبه آموزشی دارد و هرگونه استفاده غیر آموزشی از مطالب به عهده خود کاربر می باشد و نویسنده این مقاله و پایگاه اینترنتی اطلاعات فناوری اطلاعات ایران هیچ مسوولتی را عهده دار نمی باشند.
آسیب پذیری های وبی
-------------------------------------------------------------
آسیب پذیری asp dot bug:
weld pond از گروه lopht باگ asp dot bug را در سال 1997 کشف کرد . این آسیب پذیری قادر خواهد بود که منابع asp را برای مهاجمین فاش کند . این عمل با افزودن یک یا چند نقطه به آخر asp ، url تحت IIS 3.0 ، این امکان به وجود آمد که کد منبع asp بازنگری شود . کد منبع روش یا منطق برنامه خود را فاش می سازد و مهمتر از همه فاش شدن اطلاعات حساسی مثل کلمات عبور و نام کاربرها برای database بود . همانطوری که در بالا گفته شد این عمل با افزودن یک یا چند نقطه با آخر asp ، url انخام می شد:
url=http%3A%2F%2Fxxx.xxx.xxx.xxx%2Fcode%2Fexample.asp" target="_blank">http://xxx.xxx.xxx.xxx/code/example.asp.
رفع این نوع آسیب پذیری:
خبر خوش این است که مایکروسافت یک برنامه را برای آسیب پذیری asp dot bug با یک تکه برنامه مرتب شده برای IIS 3.0 می سازد که شما می توانید به url=ftp%3A%2F%2Fftp.Microsoft.com" target="_blank">ftp://ftp.microsoft.com بروید و تکه برنامه مربوط را در آنجا پیدا کنید.
آسیب پذیری جریان داده متناوب asp ( asp alternative Data ):
بر اساس اطلاعات رسیده به bug traq توسط paul ashton ، آسیب پذیری در نقطه ( dot ) asp بود ، اما این به مهاجمان اجازه می داد تا منبع asp صفحات وب را download کنند . عملکرد بسیار ساده بود و تمام مردم با یک اسکریپت بسیار ساده قادر به این کار بودند . اسکریپ به صورت زیر بود:
url=http%3A%2F%2Fxxx.xxx.xxx.xxx%2FScripts%2Ffile.asp" target="_blank">http://xxx.xxx.xxx.xxx/scripts/file.asp::$ Data
اگر این اسکریپت ساده عمل می کرد مرورگر Netscape موفعیتی را برای ذخیره فایل آماده می کرد.IE ( intenet explorer ) بطور پیش فرض، منبع کوجود در مرورگر Windows را نمایش خواهد داد که با انتخاب یک ویرایش کننده متن به سادگب قابل بازنگری بودند.
برای اطلاعات بیشتر در مورد این نوع آسیب پذیری شما می توانید url=http%3A%2F%2Fwww.rootshell.com" target="_blank">http://www.rootshell.com را بررسی کنید.
رفع این نوع از آسیب پذیری:
برای رفع این مشکل در آدرس زیر تکه برنامه ای وجود دارد که شما می توانید آن را در آدرس زیر پیدا کنید:
url=ftp%3A%2F%2Fftp.Microsoft.com" target="_blank">ftp://ftp.microsoft.com/bussys/IIS
توجه: آدرس بالا برای آسیب پذیری asp dot bug نیز موثر می باشد.
برای نصب IIS 3.0 می توانید از :
url=ftp%3A%2F%2Fftp.Microsoft.com" target="_blank">ftp://ftp.microsoft.com/bussys/IIS/IIS-public/fixes/us/Security/IIS3-Data-fix
و برای IIS 4.0:
url=ftp%3A%2F%2Fftp.Microsoft.com" target="_blank">ftp://ftp.microsoft.com/bussy/IIS/IIS-public/fixes/us/Security/IIS4-Data-fix
استفاده کنید.
آسیب پذیری showcode.asp و codebrws.asp :
با نظری به آسیب پذیری آخرین فایل ما نتایج حاصله IIS 4.0 را مورد بررسی قرار خواهیم داد . تفاوت این آسیب پذیری به آسیب پذیری های قبل این است که خود به تنهایی یک باگ نبوده بلکه این بیشتر یک مثال از برنامه نویسی ضعیف است . وقتی که شما کد asp نمونه را نصب می کنید در طول نصب یک default از IIS 4.0 و بعضی فایل های نمونه نا مناسب و غیر کافی به مهاجمان اجازه اجرای منبع فایلی دیگر را می دهد . مشکل این است که در عدم توانایی Script برای محدود کردن کاربر "." می باشد . در مسیر فایل، به عنوان مثال عمل showcode.asp ذیل به نمایش گذاشتن فایل Boot.ini روی سیستمهای ساختگی را بعهده دارد.( با کنترل های دستیابی آزاد، هر فایلی با عمل زیر دیده می شود ):
url=http%3A%2F%2Fxxx.xxx.xxx" target="_blank">http://xxx.xxx.xxx
اینترنت سکوریتی 2010 و ضد ویروس کسپرسکی 2010 وارد بازار ایران شد
لابراتوار کسپرسکی پیشرو در توسعه راه حل های مدیریت امنیت محتوا، نسل جدیدی از راهکار های امنیتی برای کاربران خانگی با نام های اینترنت سکوریتی 2010 و ضد ویروس کسپرسکی 2010 را به طور رسمی به بازار ایران معرفی کرد. به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) در مراسمی که به همین منظور و با حضور مدیران منطقه ای شرکت کسپرسکی و نمایندگان رسانه های گروهی برپا گردید، حاضران با ویژگی های جدید این نرم افزارهای امنیتی آشنا شدند.
«فید» به سمت همگانی شدن پیش می رود
خبرگزاری دانشجویان ایران - تهران سرویس: نگاهی به وبلاگها«فید» یک تجمل نیست، بلکه یک ابزار ضروری است که باعث کارآیی در خواندن مطالب و سهولت در انتشار ایده می شود. فید دیگر یک ایده جدید نیست و به سرعت به سمت همگانی شدن پیش می رود. به گزارش سرویس نگاهی به وبلاگ های خبرگزاری دانشجویان ایران (ایسنا)، در وبلاگ "دنیای وبلاگ" به نشانی http://weblogcrawler.blogspot.com آمده است: فید، خوراک، rss, atom یا کلمات مشابه همه یک مفهوم واحد را می رساند.
پیشنهاد icann برای بخشیدن انعطاف بیشتر به دامین های سطح بالا
سرویس اخبار خارجی ایتنا – مؤسسه ثبت نام ها و آدرس های اینترنتی (icann) به سازمان های مربوطه پیشنهاد کرد که با آسان سازی قوانین مرتبط با تعیین نام برای دامین های سطح بالا (top-level domains) حرکتی را برای ایجاد تغییرات اساسی در اینترنت آغاز نمایند. چنانچه این پیشنهاد با موافقت روبرو شود قوانین جدید به شرکت ها اجازه خواهد داد تا نام برند خود را بعنوان نام عمومی دامین سطح بالا (gtlds) به ثبت رسانده و به این ترتیب امکانات شخصی سازی وسیع تری را از طریق سایت های وب برای عموم فراهم سازند.
شرکت اپرا مرورگری با قابلیت های جدید برای تلفن همراه طراحی کرد
شرکت نرم افزاری اپرا آخرین نسخه از مرورگر شبکه تلفن همراه خود را برای استفاده تجاری منتشر کرد. این مرورگر دارای امکاناتی همچون زوم کردن، چرخاندن صفحه و پشتیبانی از فلش است. به گزارش بخش خبر شبکه فناوری اطلاعات ایران از گوگل،این مرورگر که اپرا موبایل 9.5 نام دارد از فناوری زوم اپرا برای بزرگ کردن صفحه وب استفاده می کند.با استفاده از این مرورگر می توان صفحات وب را به صورت آفلاین یعنی زمانیکه ارتباط اینترنتی وجود ندارد ذخیره کرد.
مجوز اسپادان به 500 هزار شماره می رسد
سرویس اخبار استان ها- مدیر عامل اسپادان از دریافت مجوز برای افزایش ظرفیت شبکه تا 500 هزار شماره تا پایان سال خبر داد. احمد سجادی- مدیر عامل شرکت مشارکتی ارتباطات سیار استان اصفهان- گفت: یکصد هزار شماره از این تعداد، برای سیم کارت مخصوص پیامک در نظر گرفته شده است. او افزود: پروانه فعالیت این شرکت برای 35 هزار شماره تلفن همراه اعتباری اسپادان بوده و شماره های فعال این شرکت نیز 34 هزار شماره است. سجادی ارائه سیم کارت رایگان را از برنامه ها و اهداف این شرکت درآینده عنوان کرد و افزود: با اجرای این برنامه مشترکان تنها شارژ کارت را می پردازند.
انتشار شماره جدید دنیای کامپیوتر و ارتباطات
شماره چهل و چهارم ماهنامه دنیای کامپیوتر و ارتباطات منتشر شد . در این شماره عناوین زیر را می بینید:- اخبار اینترنت پرسرعت- فواید ایجاد شبکه های vpn- اصول طراحی بازی های کامپیوتری- نقدی بر طرح سیستم عامل ملی- تحلیل بازار هاستینگ ایران- وب رینگ: اکوسیستم اطلاعاتی دانش سالار مبتنی بر وب- سرورها و اسکریپت های وب رینگ- نهایت امنیت- چرا بانکداری الکترونیک در ایران محقق نمی شود؟- NGN سراب یا واقعت؟- تکنوراتی، سایتی برای تمام فصولهمچنین در این شماره گفت وگوی مشروحی با دکتر سیاوش شهشهانی در باره تاریخچه ورود اینترنت به ایران منتشر شده است.
همه چیز درباره دیکشنری babylon
آی تی ایران - بابیلون چیست؟بابیلون در واقع یک دیکشنری است اما به نظر من بابیلون همه چیز است.(چرا؟)به خاطر اینکه به هر زبانی و در هر تخصصی که بخواهید ترجمه می کند . طرز کار بابیلون به این صورت است که یک فایل exe که خود برنامه می باشد را نصب می کنید سپس فایلهای bgl که شامل خود دیکشنریها هستند را به آن معرفی می کنید..برای دریافت دیکشنری باید به سایت www.babylon.com مراجعه کنید . تاکنون بابیلون تا ورژن 5.
نیازمندیها از طریق اینترنت
بخش مقاله itiran - خیلی از ما بدنبال جستجو برای کار، ماشین، خانه و یا لوازم، بصورت مداوم از آگهی نیازمندیهای روزانه در روزنامه ها استفاده می کنیم . بعضی افراد گاهی روزنامه را تنها به دلیل بخش نیازمندیها خریداری می کنند . با توجه به ضرورت وجود اطلاع رسانی عمومی کالا و خدمات با هزینه کم و مخاطب زیاد، این بخش برای آگهی دهندگان نیز به صرفه می باشد . با وجود یک ابزار قوی مثل اینترنت، امروزه درج آگهی از طریق سایتهای اینترنتی هم مقرون به صرفه بوده و هم در زمان و هزینه صرفه جویی زیادی می شود .
پرشین بلاگ: پیگیری ها نتیجه داد وبلاگ ها را باز کردند
بخش خبر itiran - یک روز بعد از آن که سایت پرشین بلاگ از مسدود ماندن وبلاگ های این سرویس دهنده وبلاگ فارسی خبر داد، این سرویس دهنده امروز اعلام کرد که دسترسی به وبلاگ ها آزاد شده است . آزاد شدن دسترسی به وبلاگ ها در حالی انجام می گیرد که حدود یک هفته از اطلاعیه وزارت پست مبنی بر عذر خواهی از وبلاگ نویسان و کاربران اینترنت و دستور گشوده شدن وبلاگ ها می گذرد . سایت پرشین بلاگ همچنین در مطلبی به سیر ماجرای مسدود شدن وبلاگ ها پرداخته است .
|
صفحه 1
|
|
