سلام دوستان عزیز
چند وقت پیش به یک حفره ی امنیتی توی gmail رسیدم که اول زیاد جدی نگرفتمش و بعد از اینکه خیلی هم جدی نگرفتمش به تیم امنیتی گوگل ایمیل زدم و اونا هم که از من بدتر طبق معمول با بهونه ی اینکه این خارج از سرویس های مستقیم ماست گفتند چیز خاصی نیست و مشکلی رو پدید نمی اره (این خیلی احمقانه است که شما به یک هکر بگید که چیزی که تو داری مشکلی رو به وجود نمی یاره حتی اگر واقعآ هم چیز خاصی نباشه اون هکر از اون یک داستان وحشتناک برات می سازه. لابد اونا هم مثل شما می دونستند که من هکر نیستم. ) و من هم یک ماه به خاطر امتحانات و دانشگاه فکرمو از این موضوع دور نگه داشتم تا امروز که دارم این مقاله رو برای شما می نویسم. اول به این فکر می کردم که خوب نهایت کاری که بتونم به طور خیلی خوب از این حفره ی امنیتی در بیارم بدست اوردن دسترسی از ایمیل طرف هست که اصلآ حس کنجکاوی من رو درگیر نمی کنه چون همه می دونیم برای همچین دسترسی کارهای خیلی آسونتری هممی شه انجام داد.اما من دنبال یک کار خاص بودم به خودم گفتم خوب چه کارهایی می شه با این متود انجام داد داشتم فکر می کردم و متود رو با خودم مرور می کردم که یکهو یک جرقه من رو به فکر گرفتن شل از سیستم کسی انداخت که به ایمیلش دسترسی دارم . یعنی یک جورایی یک بک دور توی ایمیل!!!! جوری که دقیقآ شبیه بک دوری که توی سیستم عامل هست هر زمان که ایمیل باز شد شما هم به طرف دسترسی داشته باشید. خوب حتمآ شما هم الان متوجه حرفی که زدم و تا الان اجرایی نشده شدید.خوب برای اینکه ما بقی داستان رو بدونیم باید اول بدونید حفره ی امنیتی که من از اون براتون حرف می زنم چیه و چه جوری بدستش آوردم.خیلی از شما دوستان جریان اون حفره ی امنیتی گوگل رو که هم مقاله اش رو توی مجله ی آفلاین گزاشتیم و هم اینکه توی همین سایت توضیحش دادم رو می دونید. داستان از یک بررسی نشدن اعتبار ورودی xml شروع می شد و به دسترسی به سیستم کاربر های گوگل هم ختم می شد.

حالا با اون پیش زمینه بیاید تا با هم این آسیب پذیری رو بررسی کنیم:
در حال چرخ زدن توی gmail بودم که به قسمت gadgets توی setting رسیدم(توی فیلم نحوه ی فعال ساز این بخش هم نشون داده شده).این قسمت رو قبلآ هم دیده بودم اما هیچ وقت در موردش فکر نکرده بودم. پس حالا که کنجکاوم کرده بود وقت این بود تا ببینم چی به چی هست و در موردش فکر کنم. اولین کاری که کردم رفتم دنبال مستندات گوگل برای این Option. وقتی که بررسی شون کردم دیدم برای کسایی آماده شده که دوست دارند گجت های خودشون رو آماده کنند و ازش استفاده کنند و جالب اینجا بود که این گجت ها به صورت هر لاگین اجرا می شوند(یعنی هر زمان که شما به ایمیلتون لاگین کنید این گجت هم مثل استارت آپ برنامه ها توی سیستم عامل اجرا می شوند.) و منطقی اینجا بود که اینجا هم از xml استفاده می شد من که توی حفره ی امنیتی قبلی گوگل حسابی از xml لذت برده بودم و یک جورایی با نحوه ی استفاده اش از xml سر در اورده بودم سعی کردم تا یک چیزی بنویسم که بتونم از طریق اون یک xss store به وجود بیارم که البته هم تونستم و کار سختی هم نبود و این xss به این صورت اجرا می شه که هر زمان که شما به ایمیلتون لاگین می کنید این گجت که اینجا xss ما هست اجرا می شه پس در نتیجه اگر شما یک xml شبیه زیر بنویسید هر دفعه که به ایمیلتون لاگین می کنید یک alert حاوی پیغام Hi Secure-land دریافت می کنید

قسمت جالب ماجرا اینجاست که ایندفعه شما یک xml ریموت رو معتبر می کنید. و این یعنی اینکه بک دور شما کاملآ به صورت ریموت قابل برنامه ریزی هست.


برای مطالعه بیشتر به ادامه مطلب مراجعه فرمایید.

مهمترین هدف میکروتیک مسیریابی یا همان Routing هست . میکروتیک ؛ سیستم عاملی مبتنی بر لینوکس است که عینا نقش یک روتر را ایفا می کند. میکروتیک نیاز متخصصان شبکه را نسبت به روتر های گران قیمت سیسکو تا حد بسیار زیادی برطرف کرده است !

میکروتیک به تدریج توسعه یافت و تا امروز امکانات بسیار زیادی به آن اضافه شده که همین امر باعث شد تا متخصصان شبکه اکثر نیاز های خود را به مسیریابی یا دیوارآتش در شبکه را با میکروتیک برطرف کنند .

از میکروتیک می توان در موارد زیادی از جمله موارد زیر استفاده کرد

·         مسیریابی | Routing

·         دیوارآتش | Firewall

·         پروتکل پیکربندی پویای میزبان | DHCP Server

·         ترجمه نشانی شبکه | NAT (Network Address Translate)

·         پراکسی سرور | Proxy Server

·         رادیوس و مدیریت کابران | Radius , User Management

·         بی سیم | Wireless

·         تعادل رسانی بارگزاری | Load Balancing

·         شبکه خصوصی مجازی | V P N (Virtual Private Network)

·         راهگزینی برچسب چندقرارداری | MPLS

·         کیفیت سرویس | Quality of Service

·         میزبانی اتصالات PPPOE – PPTP – L2TP – SSTP – OpenVPN – ISDN

·       پرس بسته ها | Packet Mangle

برای مطالعه بیشتر به ادامه مطلب مراجعه فرمایید.

سلام خدمت دوستان گلم :

سعی می کنم در ایام امتحانات کم و بیش سایت رو آپدیت کنم،اما اگرکوتاهی مشاهده شد به بزرگی خودتون ببخشید.
در این پست قصد دارم با یک فایل PDF که در آن مطالب پایه در خصوص آموزش طراحی استاتیک وب می باشد آشنا شوید.
در ابتدا ممکنه سوال پیش بیاد براتون که اصلا طراحی استاتیک یعنی چی ؟
جواب مختصر و کوتاه آن این است در طراحی استاتیک کاربر تماما از فایل های آماده و کدهای آماده استفاده می کند و می توانید یک طراحی خیلی گرافیکی اجرا کند.منظور از آماده این نیست که کاربر بدون داشتن هرگونه سواد و علمی در خصوص طراحی می تواند راحت وارد کار شود،خیر اینگونه نــیست.نیازمند داشتن پایه ضعیف از کد نویسی می باشد.

طراحی داینامیک به گونه است که حالت پرتال های مدیریت محتوا می باشد.یعنی نیازمند کد نویسی دقیق (علی الخصوص کد نویسی حرفه ای و دقیق برای اینکه باگ (حفره امنیتی) نداشته باشد) می باشد.به عنوان مثال می توان به سیستم های مدیریت محتوای دیتالایف ، ورودپرس و... اشاره کرد.


برای دریافت فایل آموزش پایه طراحی استاتیک به ادامه مطلب مراجعه فرمایید.

با تشکر.

نام و نام خانوادگی : حسین نجمی

تحصیلات : کارشناس ارشد نرم افزار کامپیوتر

تخصص : برنامه نویسی - امنیت - طراحی وب - وب هاستینگ (میزبانی) - اجرا و برپاسازی سرورهای مختص ادارات ، شرکت ها ، مدارس

دوره ها : برگزاری دوره کار آموزی طراحی وب ، برنامه نویسی ، آموزش کامل کامپیوتر ، نحوه کار با سرورهای ویندوز یا لینوکس

پست الکترونیک : info{@}h-najmi{.}ir