۲۰-بهمن-۱۳۸۳, ۱۳:۱۰:۵۵
۲۰-بهمن-۱۳۸۳, ۱۴:۱۷:۲۷
سلام
بله دوست عزيز داره!
نصبشم زياد سخت نيست معمولا تو فايل mainfile.php اضافه ميشن.ميتوني پچ ها رو از سايت زير بگيري:
nukecops.com
:wink:
بله دوست عزيز داره!
نصبشم زياد سخت نيست معمولا تو فايل mainfile.php اضافه ميشن.ميتوني پچ ها رو از سايت زير بگيري:
nukecops.com
:wink:
۲۰-بهمن-۱۳۸۳, ۱۴:۲۳:۵۱
آره پچ داره همينطور كه آقا كامران گل گفت ولي بنظر من چون اوپن سورس هست در آينده يكي از قويترين سايتها ميشه - چون زود حفره هاي امنيتيش شناسايي ميشه.
۲۰-بهمن-۱۳۸۳, ۱۴:۲۵:۰۷
دستت درد نكنه .
اينكه بشه در ارتباط با دوستاني مثل شما مشكلات رو سريع رفع كرد خيلي ارزش داره .
من فارسي نوك رو دانلود كردم . ديشب مشغول نصب بودم كه متوجه شدم فضا كم آوردم.
تو دو سه روز آينده اين مشكل رو رفع ميشه .
فعلا علي الحساب بايد پچ ها رو دانلود كنم
اينكه بشه در ارتباط با دوستاني مثل شما مشكلات رو سريع رفع كرد خيلي ارزش داره .
من فارسي نوك رو دانلود كردم . ديشب مشغول نصب بودم كه متوجه شدم فضا كم آوردم.
تو دو سه روز آينده اين مشكل رو رفع ميشه .
فعلا علي الحساب بايد پچ ها رو دانلود كنم
۲۰-بهمن-۱۳۸۳, ۲۰:۵۱:۳۹
ببين دوست عزيز اكثر پچ ها دانلود نميخواد! مثلا اين يه نمونش كه بايد به mainfile.php اضافه كني:
اين كد رو ميتوني در اول فايل بعد از <? اضافه كني.
در ضمن اين پچ قوي امنيت سايت رو ميبره بالا! چون اكثرا نيوك (تلفظ درست!) با تزريق اسكريپت ها (MySql) هك ميشن كه بايد در اون اسكريپت ها union به كار برده شه كه اين كد همه كوري ها (هر چي بعد از ؟ مياد تو آدرس) رو بررسي ميكنه و اگه كد خطرناك توش باشه نميزاره هك بشه. نمونه كد براي هك:
اين كد رو نيوك هاي تا 6.9 (فك كنم يادم نيست!) جواب ميده من با همين چند تا سايت خارجي رو تونستم دسترسي مدير بگيرم(نگفتم هك كردم چون در واقع هك محسوب نميشه!) :wink:
کد:
$queryString = strtolower($_SERVER['QUERY_STRING']);
if (stripos_clone($queryString,'%20union%20') OR stripos_clone($queryString,'/*') OR stripos_clone($queryString,'*/union/*') OR stripos_clone($querystring,'c2nyaxb0')) {
header("Location: index.php");
die();
}در ضمن اين پچ قوي امنيت سايت رو ميبره بالا! چون اكثرا نيوك (تلفظ درست!) با تزريق اسكريپت ها (MySql) هك ميشن كه بايد در اون اسكريپت ها union به كار برده شه كه اين كد همه كوري ها (هر چي بعد از ؟ مياد تو آدرس) رو بررسي ميكنه و اگه كد خطرناك توش باشه نميزاره هك بشه. نمونه كد براي هك:
کد:
www.site.com/modules.php?name=Web_Links&l_op=viewlinkcomments&lid=-1%20UNION%20SELECT%20aid%2c1%2cpwd%2c1%20FROM%20nuke_authors%20/%2a۲۰-بهمن-۱۳۸۳, ۲۰:۵۳:۰۲
ببين دوست عزيز اكثر پچ ها دانلود نميخواد! مثلا اين يه نمونش كه بايد به mainfile.php اضافه كني:
اين كد رو ميتوني در اول فايل بعد از <? اضافه كني.
در ضمن اين پچ قوي امنيت سايت رو ميبره بالا! چون اكثرا نيوك (تلفظ درست!) با تزريق اسكريپت ها (MySql) هك ميشن كه بايد در اون اسكريپت ها union به كار برده شه كه اين كد همه كوري ها (هر چي بعد از ؟ مياد تو آدرس) رو بررسي ميكنه و اگه كد خطرناك توش باشه نميزاره هك بشه. نمونه كد براي هك:
اين كد رو نيوك هاي تا 6.9 (فك كنم يادم نيست!) جواب ميده من با همين چند تا سايت خارجي رو تونستم دسترسي مدير بگيرم(نگفتم هك كردم چون در واقع هك محسوب نميشه!) :wink:
کد:
$queryString = strtolower($_SERVER['QUERY_STRING']);
if (stripos_clone($queryString,'%20union%20') OR stripos_clone($queryString,'/*') OR stripos_clone($queryString,'*/union/*') OR stripos_clone($querystring,'c2nyaxb0')) {
header("Location: index.php");
die();
}در ضمن اين پچ قوي امنيت سايت رو ميبره بالا! چون اكثرا نيوك (تلفظ درست!) با تزريق اسكريپت ها (MySql) هك ميشن كه بايد در اون اسكريپت ها union به كار برده شه كه اين كد همه كوري ها (هر چي بعد از ؟ مياد تو آدرس) رو بررسي ميكنه و اگه كد خطرناك توش باشه نميزاره هك بشه. نمونه كد براي هك:
کد:
www.site.com/modules.php?name=Web_Links&l_op=viewlinkcomments&lid=-1%20UNION%20SELECT%20aid%2c1%2cpwd%2c1%20FROM%20nuke_authors%20/%2a۲۱-بهمن-۱۳۸۳, ۰۹:۰۴:۰۱
دو تا اصل رو اگه رعايت كني نوك بالاترين امنيت رو ميتونه داشته باشه(البته هنوز بازم امنيت كامل نه)
براي هك نيوك (بقول آقا كامران) از دو تا چيز بيشتر استفاده ميشه يكي نام جدول ها و ديگري نام فابل آدميني .
توي نوك همه جدول ها با nuke شروع ميشن كه خوب اگه تغيير بدي تقريبا ميشه گفت ديگه كسي اسم جدولهار رو نميتونه پيدا كنه(حتي توي همين كد بالا كه كامران زده نام يه جدول هست nuke_authors .
دومين گزينه نام فايل آدميني هست كه پيش فرض نوك اينه admin.php كه اگه بتوني تغييرش بدي ديگه كسي نميتونه با اون دسترسي داشته باشه .
من نسخه 6.5 رو با اين تغييرات دارم(البته نام جدولها قبلا تو برنامش پيش بيني شده بود-من فقط تغيير ميدم) به همراه همون تغيير كه كامران گفت يعني Union و حتي فايل آدميني رو هم عوض كردم و قابل تغيير هست به دلخواه (يه متغيره كه با تنظيم اون و تغيير سه تا چيز ديگه نام فايل آدميني عوض ميشه بدون تغيير در نحوه كار برنامه).
براي هك نيوك (بقول آقا كامران) از دو تا چيز بيشتر استفاده ميشه يكي نام جدول ها و ديگري نام فابل آدميني .
توي نوك همه جدول ها با nuke شروع ميشن كه خوب اگه تغيير بدي تقريبا ميشه گفت ديگه كسي اسم جدولهار رو نميتونه پيدا كنه(حتي توي همين كد بالا كه كامران زده نام يه جدول هست nuke_authors .
دومين گزينه نام فايل آدميني هست كه پيش فرض نوك اينه admin.php كه اگه بتوني تغييرش بدي ديگه كسي نميتونه با اون دسترسي داشته باشه .
من نسخه 6.5 رو با اين تغييرات دارم(البته نام جدولها قبلا تو برنامش پيش بيني شده بود-من فقط تغيير ميدم) به همراه همون تغيير كه كامران گفت يعني Union و حتي فايل آدميني رو هم عوض كردم و قابل تغيير هست به دلخواه (يه متغيره كه با تنظيم اون و تغيير سه تا چيز ديگه نام فايل آدميني عوض ميشه بدون تغيير در نحوه كار برنامه).
۲۱-بهمن-۱۳۸۳, ۱۰:۰۲:۵۱
خيلي جالب بود .
وقتي نام يه فايل مهم تغيير پيدا ميكنه . تما ارجاعاتي كه به اون فايل ميشه بايد تغيير كنه . درسته ؟
وقتي نام يه فايل مهم تغيير پيدا ميكنه . تما ارجاعاتي كه به اون فايل ميشه بايد تغيير كنه . درسته ؟
۲۱-بهمن-۱۳۸۳, ۱۵:۰۴:۴۰
سلام
بله تقريبا ديگه داره سيستم ما امن ميشه! ولي اگه يه برنامه اضافه رو نيوك نصب كني بد نميشه! مثل سينتيال يا ادمين سكور ( مثلا ميتوني اينا رو مثل فايروال فرض كني براي نيوك كه از هجوم داده هاو ... جلوگيري ميكنن)
فقط يه سوال!آقا اشكان كجا بايد اسم فايل ادمين رو تغيير بدم تو نيوك 7.5 تو config.php نبود؟! :?:
بله تقريبا ديگه داره سيستم ما امن ميشه! ولي اگه يه برنامه اضافه رو نيوك نصب كني بد نميشه! مثل سينتيال يا ادمين سكور ( مثلا ميتوني اينا رو مثل فايروال فرض كني براي نيوك كه از هجوم داده هاو ... جلوگيري ميكنن)
فقط يه سوال!آقا اشكان كجا بايد اسم فايل ادمين رو تغيير بدم تو نيوك 7.5 تو config.php نبود؟! :?:
۲۱-بهمن-۱۳۸۳, ۱۵:۳۹:۱۹
آره اين فايل چون آدميني هست تقريبا تمامي ارجاع هاي قسمت آدميني وارد اون ميشه و من مجبور شدم تقريبا چيزي حدود 80 تا فايل رو عوض كنم ولي ميرزيد . يه متغيره به نام adminame كه مقدارش نام فايل آدميني رو نشون ميده.
آره كامران جان حرفت درسته توي كانفيگه ولي توي نسخه 6.5 بعديهاشو من ندارشتم.
اگه ميخوايي بگو برات نسخه آدميني 6.5 رو بفرستم با اين تغييرات شايد هم تو سايت گذاشتمش (حجمش حدود 4 مگ هست ببينم ميتونم آپلودش كنم)
آره كامران جان حرفت درسته توي كانفيگه ولي توي نسخه 6.5 بعديهاشو من ندارشتم.
اگه ميخوايي بگو برات نسخه آدميني 6.5 رو بفرستم با اين تغييرات شايد هم تو سايت گذاشتمش (حجمش حدود 4 مگ هست ببينم ميتونم آپلودش كنم)