خواندن کد های php یک سایت با لحاظ شرایط امنیتی

M_cover

Member
با سلام و درود
آیا نرم افزار یا شیوه ایی برای مشاهده کد های php یک سایت وجود دارد؟
راستش من می دانم با اپن سورس کردن یک صفحه می توان معادل html کد ها پی اچ پی را بدست آورد اما آیا می توان کد اصلی صفحه را گرفت یا مشاهد کرد البته در نظر بگیرید که این کد ها شرایط امنیتی رعایت شده است مثلا کل کد های php داخل یک فایل هستند که اینکلد می شوند ودسترسی این فایل توسط آپاچی بسته شده است این فکری بود که ما برای امنیت پیش بردیم :دی
1-آیا می توان کد های پی اچ پی داخل این فایل را دید ؟

2-را های دیگری برای افزایش امنیت این کد ها وجود دارد البته به جز روش base64 که قابل شناسایی است :)دی)


با تشکر:rose:
 

Cyletech

Member
1-آیا می توان کد های پی اچ پی داخل این فایل را دید ؟
اصلاً امکان نداره محتوای یک فایل php رو بشه دید و احتمالاً زبان های سمت سرور. مگر اینکه یه خروجی از خودشون بدن و اون خروجی نمایش داده بشه. ولی اگر امنیت خوب تنظیم نشده باشه ، با دانلود اون فایل ، کل فایل و محتواش رو دریافت می کنی.


2-را های دیگری برای افزایش امنیت این کد ها وجود دارد البته به جز روش base64 که قابل شناسایی است :)دی)
نمیگم قابل شناسایی ، میگن قابل بازگشت! خب این base64 که اشاره کردی مربوط به کدینگ میشه. اگر بخوای کد کنی که اصلاً به صرفه نیست چون به قول دوست هکری ، شعار ما هکرا اینه : هرچیزی اجرا بشه هک میشه.
ولی میتونی دسترسی به این فایل هارو محدود کنی که چندین راه داره جستجو کنی پیدا می کنی.
و از همه مهم تر بتونی تمام باگ های نرم افزارت رو پر کنی.
 

M_cover

Member
اصلاً امکان نداره محتوای یک فایل php رو بشه دید و احتمالاً زبان های سمت سرور. مگر اینکه یه خروجی از خودشون بدن و اون خروجی نمایش داده بشه. ولی اگر امنیت خوب تنظیم نشده باشه ، با دانلود اون فایل ، کل فایل و محتواش رو دریافت می کنی.

اگر درست متوجه شده باشم منظور شما اینه که اگر به شیوه ایی که من عمل کردم کد های پی اچ پی توی یک فایل ریخته و اینکلود می کنم و دسترسی آن فایل را بستم یعنی دیگر به هیچ وجه امکان خواندن آن فایل ها وجود ندارد در ضمن یعنی یک نرم افزار سمت سرور کد های آن قابل برداشت نیست؟

ولی میتونی دسترسی به این فایل هارو محدود کنی که چندین راه داره جستجو کنی پیدا می کنی.
من همین کار را انجام دادم فکر کنم تایپ من را گذرا خواندید :دی آیا امکان تحلیل کد ها توسط نرم افزار یا شیوه ایی وجود دارد؟
و از همه مهم تر بتونی تمام باگ های نرم افزارت رو پر کنی.
میشه بیشتر توضیح دهید که منظور شما از باگ چی است؟
 

Cyletech

Member
من همین کار را انجام دادم فکر کنم تایپ من را گذرا خواندید :دی آیا امکان تحلیل کد ها توسط نرم افزار یا شیوه ایی وجود دارد؟
من که درست متوجه منظورت نشدم. ولی احتمالاً میگی شبیه سازی کنن با استفاده از خروجی که تو سورس هست مثلاً. من که فکر نکنم. چون شما فرض کن داری کوئری میگیری و خروجی میدی بیرون. نفوذگر یا نرم افزار خروجی رو چند خط می بینه که میشه اون چند خط رو هرجوری نوشت. هیچ نرم افزاری نیست که بتونه دقیق حدس بزنه. حتی درصد ضعیفی هم نمیتونه حدس بزنه. در همون مسئله کوئری ، از کجا میخواد بدونه اسم جدولی که داری کوئری میدی و میگیری چیه؟ فقط یه راه داره که نفوذگر سایتت رو هک کنه دیگه نیازی به نرم افزار و اینا نیست مستقیم همرو بر میداره.

میشه بیشتر توضیح دهید که منظور شما از باگ چی است؟
باگ یا حفره ، یک مسئله کاملاً امنیتیه. که اگر نرم افزارت در این زمینه ضعیف باشه باید هر لحظه قلبت بایسته که نکنه سایتم رو هک کنن. در کل با استفاده از حفره های امنیتی میشه سایت رو هک کرد یعنی بهش دسترسی داشت و هرچی که داخلشه.


اگر درست متوجه شده باشم منظور شما اینه که اگر به شیوه ایی که من عمل کردم کد های پی اچ پی توی یک فایل ریخته و اینکلود می کنم و دسترسی آن فایل را بستم یعنی دیگر به هیچ وجه امکان خواندن آن فایل ها وجود ندارد در ضمن یعنی یک نرم افزار سمت سرور کد های آن قابل برداشت نیست؟
عجب سوالی پرسیدیا :d نرم افزار سمت سرور یعنی چی آخه؟ یعنی اینکه یه نرم افزار با زبان سمت سرور نوشته شده باشه. برای دسترسی به هر سرور نیاز به یکسری دسترسی هاست. مثل یوزرنیم و پسورد. وقتی نفوذگر نداشته باشه یا اون نرم افزار نداشته باشه نمی تونه دسترسی پیدا کنه. مگر از طریق همون باگ که توضیح دادم همه اطلاعاتت رو در بیاره ولی کاری نکنه که لو نره بد با نرم افزارش بیاد کاری که میخوادو کنه.
 

M_cover

Member
باگ یا حفره ، یک مسئله کاملاً امنیتیه. که اگر نرم افزارت در این زمینه ضعیف باشه باید هر لحظه قلبت بایسته که نکنه سایتم رو هک کنن. در کل با استفاده از حفره های امنیتی میشه سایت رو هک کرد یعنی بهش دسترسی داشت و هرچی که داخلشه.

داش ما را گرفتی :دی من می پرسم منظور از باگ از چه نظر است شما تعریف باگ را برای ما می کنی یعنی ما سوادمان اینقدر پایینه :دی
منظور شما از باگ توی کد نویسی است ؟ مثلا به چه صورت ؟ چه نوع کد هایی ایجاد باگ می کنند و ... (البته می دانم این سوال خیلی کلی لطفا بحث را به صورت خلاصه توضیح دهید )
مگر از طریق همون باگ که توضیح دادم همه اطلاعاتت رو در بیاره ولی کاری نکنه که لو نره بد با نرم افزارش بیاد کاری که میخوادو کنه.
ما که داش آخر سر نفهمیدیم این باگ هایی که می گی از چه لحاظ هستند . . .
 

Cyletech

Member
خب چرا میزنی :D متوجه منظورت نشدم. الآن میگم. همونطور که خودت گفتی سوال ریز رو کلی بپرسیدی. خیلی سخته پاسخ دادن بهش... مثلاً شما حواست باشه که هر ورودی رو چک کنی از شر SQL Injection خلاص بشی. اطلاعات مهم رو رمزگذاری کنی. دسترسی به محدود کنی. هنگام آپلود فایل همه چی رو بررسی کنی مثل تایپ و سایز و رفرر و ... . بازم ... :D یه جستجو کن ببین چه چیزایی باگ میسازن.
 

جدیدترین ارسال ها

بالا