spider0098 0 گزارش دادن ارسال شده در تیر 98 سلام دوستان خسته نباشید. برای مثال یه سایتی داریم مثل : http://example.com/test/ که اصلاً کلمه هایی مثل php یا id نداره که بخوایم مثلا دستورات sql injection رو بنویسیم و تست کنیم ببینیم باگ داره یا نه. در اینجور مواقع باید چکار کنیم؟ به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
R3dC0d3r 556 گزارش دادن ارسال شده در تیر 98 سلام هزارو یک حالت داره ک اکستنشن php یا aspx توی ادرس بار نباشه ، فرضا استفاده از روتینگ MVC Pattern بحث تزریق sql زمانی جواب میده ک توسعه دهنده سرویس هیچ دقتی روی داده های ورودی از سمت کلاینت به خرج نداده باشه ، هرچی رو که میگیره مستقیما روی سرور دیتابیس اجرا کنه این داده های ورودی یا از طریق query string example.com/example.php?test=test exmple.com/input-data یا از طریق form data که از متود پست امکان پذیره صورت میگیره پس با این حساب شما باید ببینی داده های ورودی از چه مسیری دریافت میشن . 4 واکنش ها : RT3N ، nnje ، DeMoN و 1 نفر دیگر به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
spider0098 0 گزارش دادن ارسال شده در تیر 98 در 33 دقیقه قبل، R3dC0d3r گفته است : سلام هزارو یک حالت داره ک اکستنشن php یا aspx توی ادرس بار نباشه ، فرضا استفاده از روتینگ MVC Pattern بحث تزریق sql زمانی جواب میده ک توسعه دهنده سرویس هیچ دقتی روی داده های ورودی از سمت کلاینت به خرج نداده باشه ، هرچی رو که میگیره مستقیما روی سرور دیتابیس اجرا کنه این داده های ورودی یا از طریق query string example.com/example?=test exmple.com/input-data یا از طریق form data که از متود پست امکان پذیره صورت میگیره پس با این حساب شما باید ببینی داده های ورودی از چه مسیری دریافت میشن . ممنون از پاسخ گوییتون . من چند وقتی هست که دارم درباره این موضوع جستجو میکنم و چیز مفیدی پیدا نکردم. میشه یکم بیتشر توضیح بدین و بگین چجوری با چه متود هایی که اکستنشن php یا asp ندارن تست نفوذ انجام بدیم . مثلا چجوری باگ های xss rfi و... دیگر باگ ها رو رو سایت تست بزنیم. در واقع قصدم اینه وقتی یکی میگه یه سایت بهت میدم تست نفوذ انجام بده ، چه روش هایی رو باید انجام داد. من خیلی گیج شدم رو این موضوع. ممنون میشم کمک کنید. و اگر مطلب یا فیلم آموزشی درباره تست نفوذ دستی (بدون استفاده از ابزار) دارید ممنون میشم معرفی کنید. ممنون از پاسخگوییت به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
R3dC0d3r 556 گزارش دادن ارسال شده در تیر 98 هر باگ راه و روش های خودشو داره ک اگه بخوام هرکدوم رو توضیح بدم کل تاپیک رو در بر میگیره ، باگ های معروف آموزش هاشون توی انجمن موجوده در رابطه با هر باگه دیگه ای هم که خواستین اطلاعات کسب کنین همیشه ویکی پدیا overview اولیه خوبی بهتون میده تا مطالعه رو روش شروع کنید ، البته ویکی انگلیش توصیه منه ؛ مقالات ویکی فارسی کمی ضعیف هست اگه اول این مسیرید شدیدا پیشنهاد میکنم از ابزار های دیگران استفاده نکنید؛ حدا المکان ابزار های مورد نیازتونو خودتون بنویسین تا درک بیشتری از معماری کار پیدا کنید پیشنهادم اینه اول از نتورک پلاس شروع کنید تا قشنگ مفاهیم سرور ، وب سرور ، انواع کانکشن ها ، تی سی پی و غیره رو درک کنید ابزار انالیز تارگت رو اکثرا به سبک شل اسکریپت ب زبان های پایتون و پرل مینوسین ، البته به هر زبان دیگه ای هم ممکن هست به محض اینکه شما از مفاهیم باز کردن سوکت یا اتصال به یک پرت خاص روی سرور ، برقراری اتصال و غیره سر در بیارید متوجه منظورم میشید 5 1 واکنش ها : Hb051 ، 1TED ، spider0098 و 3 نفر دیگر به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر