spider0098

تست نفوذ سایتی که php?id ندارد

پست های پیشنهاد شده

سلام دوستان خسته نباشید.

برای مثال یه سایتی داریم مثل :

http://example.com/test/

که اصلاً کلمه هایی مثل php یا id نداره که بخوایم مثلا دستورات sql injection رو بنویسیم و تست کنیم ببینیم باگ داره یا نه.

در اینجور مواقع باید چکار کنیم؟

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

سلام

هزارو یک حالت داره ک اکستنشن php یا aspx توی ادرس بار نباشه ، فرضا استفاده از روتینگ MVC Pattern

بحث تزریق sql زمانی جواب میده ک توسعه دهنده سرویس هیچ دقتی روی داده های ورودی از سمت کلاینت به خرج نداده باشه ، هرچی رو که میگیره مستقیما روی سرور دیتابیس اجرا کنه

این داده های ورودی یا از طریق query string

example.com/example.php?test=test
exmple.com/input-data

یا از طریق form data که از متود پست امکان پذیره صورت میگیره

پس با این حساب شما باید ببینی داده های ورودی از چه مسیری دریافت میشن .

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر
در 33 دقیقه قبل، R3dC0d3r گفته است :

سلام

هزارو یک حالت داره ک اکستنشن php یا aspx توی ادرس بار نباشه ، فرضا استفاده از روتینگ MVC Pattern

بحث تزریق sql زمانی جواب میده ک توسعه دهنده سرویس هیچ دقتی روی داده های ورودی از سمت کلاینت به خرج نداده باشه ، هرچی رو که میگیره مستقیما روی سرور دیتابیس اجرا کنه

این داده های ورودی یا از طریق query string


example.com/example?=test
exmple.com/input-data

یا از طریق form data که از متود پست امکان پذیره صورت میگیره

پس با این حساب شما باید ببینی داده های ورودی از چه مسیری دریافت میشن .

ممنون از پاسخ گوییتون . من چند وقتی هست که دارم درباره این موضوع جستجو میکنم و چیز مفیدی پیدا نکردم. میشه یکم بیتشر توضیح بدین و بگین چجوری با چه متود هایی که اکستنشن php یا asp ندارن تست نفوذ انجام بدیم . مثلا چجوری باگ های xss rfi و... دیگر باگ ها رو رو سایت تست بزنیم. در واقع قصدم اینه وقتی یکی میگه یه سایت بهت میدم تست نفوذ انجام بده ، چه روش هایی رو باید انجام داد. من خیلی گیج شدم رو این موضوع. ممنون میشم کمک کنید.

و اگر مطلب یا فیلم آموزشی درباره تست نفوذ دستی (بدون استفاده از ابزار) دارید ممنون میشم معرفی کنید. ممنون از پاسخگوییت

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

هر باگ راه و روش های خودشو داره ک اگه بخوام هرکدوم رو توضیح بدم کل تاپیک رو در بر میگیره ، باگ های معروف آموزش هاشون توی انجمن موجوده

در رابطه با هر باگه دیگه ای هم که خواستین اطلاعات کسب کنین همیشه ویکی پدیا overview اولیه خوبی بهتون میده تا مطالعه رو روش شروع کنید ، البته ویکی انگلیش توصیه منه ؛ مقالات ویکی فارسی کمی ضعیف هست 

 

اگه اول این مسیرید شدیدا پیشنهاد میکنم از ابزار های دیگران استفاده نکنید؛ حدا المکان ابزار های مورد نیازتونو خودتون بنویسین تا درک بیشتری از معماری کار پیدا کنید

پیشنهادم اینه اول از نتورک پلاس شروع کنید تا قشنگ مفاهیم سرور ، وب سرور ، انواع کانکشن ها ، تی سی پی و غیره رو درک کنید

 

ابزار انالیز تارگت رو اکثرا به سبک شل اسکریپت ب زبان های پایتون و پرل مینوسین ، البته به هر زبان دیگه ای هم ممکن هست

به محض اینکه شما از مفاهیم باز کردن سوکت یا اتصال به یک پرت خاص روی سرور ، برقراری اتصال و غیره سر در بیارید متوجه منظورم میشید 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از ۷۵ اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به عنوان یک لینک به جای

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

در حال بارگذاری