AliReza26
Active Member
همانطور كه شب گذشته (دوشنبه 11 خرداد 1383 ) مشاهده كرديد بيش از 10 سايت ايراني توسط گروه امنيتي INFiNiX هك شدند. طريقي كه هكران اين سايتها به عنوان نقطه ضعف بيان كرده بودند ، برنامه RoXan مي باشد.
اما برنامه Roxan چيست ؟ اين برنامه توسط شركت رهنما كه يك شركت توليد كننده نرم افزارهاي تحت وب مي باشد ، توليد شده است . طبق گفته اين شركت « ركسان يك CMS ارزان قيمت مي باشد كه امكان مديريت محتواها را به مديران سايت ها مي دهد. اين نرم افزاري به طور كامل در شركت رهنما طراحي شده و قابليت انعطاف و تغيير براي كاربردهاي خاص مانند آموزش مجازي (LCMS) و يا پرتالهاي سازماني را دارا مي باشد. ركسان آمده است تا امكان مديريت يك سايت را در كمترين زمان و هزينه (؟) و بدون نياز به نيروي متخصص(؟) براي شما فراهم ساخته و كليه مرزها ( محدوديتها)ي شما در مديريت محتوا را از پيش رو بردارد .»
اين تمامي مطالبي بود كه درباره برنامه ركسان در سايت فوق گفته شده بود. همانطور كه مشاهده مي كنيد كوچكترين حرفي از امنيت اين برنامه زده نشده است. زيرا كه امنيت هنوز جايگاه خود را در شركتهاي برنامه نويسي وب پيدا نكرده و شايد همين اتفاق دستمايه اي شود براي مديران شركت رهنما كه هر چه زودتر فكري براي برنامه هاي ناامن خود كنند.
حتي خود سايت رهنما نيز از اين مشكل امنيتي رنج مي برد. ركسان كه توسط jsp نوشته شده است حتي روي ورودي هاي خود كوچكترين كنترلي نگذاشته است و همين نقطه ضعف كوچك باعث مي شود كه هكر به عمق نرم افزار نفوذ كرده و با به دست آوردن پسورد مدير سايت صفحه اول سايت را دستكاري كند. اما جاي اين سوال باقي است كه چرا شركت هايي در حد و اندازه رهنما نبايد كوچكترين فكري به حال امنيت برنامه هاي كاربردي خود بكنند. برنامه هايي كه اكثرا روي وب و در دسترس عموم است.
واقعا بايد گفته كه اينگونه برنامه هاي كاربردي فقط براي بهشت طراحي شده اند و در زميني كه انواع شرارت در آن موج مي زند بهتر است فكري براي محصولهاي ناامن خود بكنيم.
برنامه هاي ديگري توسط اين شركت ساخته شده اند كه احتمال آسيب پذير بودن آن وجود دارد و توصيه ما به استفاده كنندگان از اين برنامه اين است كه حتما از امنيت آن اطمينان حاصل كنيد و سپس آنها را به كار بريد.
از برنامه هاي توليد شده توسط شركت رهنما به شرح زير مي باشد:
ركسان
بازارچه الكترونيكي
فروشگاه اينترنتي
مديريت سرويس دهندگان اينترنت
اما سايتهايي كه از برنامه RoXan استفاده مي كنند به شرح زير مي باشند :
1. تکادو
2. سازمان مديريت و برنامه ريزي استان اصفهان
3. اصفهان تکفا
4. جشنواره کار آفريني شيخ بهايي
5. اتاق بازرکاني و صنايع و معادن استان اصفهان
6. موسسه حسابرسي امجد
7. شرکت سهامي آب منطقه اي اصفهان و چهارمحال بختياري
8. پلار
9. انجمن آمار ايران
10. سازمان تامين اجتماعي استان اصفهان
11. شرکت شهرکهاي صنعتي استان اصفهان
12. انجمن بيماري شناسي گياهي ايران
13. شرکت واحد اتوبوسراني اصفهان و حومه
14. خانه رياضيات اصفهان
15.سازمان اسناد و کتابخانه ملي ايران
16. پارس سيستم
17.سازمان بازرگاني استان اصفهان
18. بنياد فرهنگي و آموزشي امام صادق
19. انجمن علمي پريودنتولوژي ايران
20. پژوهشکده فرهنگ هنر و ارتباطات
21.دکتر مريم شمس لاهيجاني
22.سيتکو
منبع : مجله اکترونيکي امنيت وب
اما برنامه Roxan چيست ؟ اين برنامه توسط شركت رهنما كه يك شركت توليد كننده نرم افزارهاي تحت وب مي باشد ، توليد شده است . طبق گفته اين شركت « ركسان يك CMS ارزان قيمت مي باشد كه امكان مديريت محتواها را به مديران سايت ها مي دهد. اين نرم افزاري به طور كامل در شركت رهنما طراحي شده و قابليت انعطاف و تغيير براي كاربردهاي خاص مانند آموزش مجازي (LCMS) و يا پرتالهاي سازماني را دارا مي باشد. ركسان آمده است تا امكان مديريت يك سايت را در كمترين زمان و هزينه (؟) و بدون نياز به نيروي متخصص(؟) براي شما فراهم ساخته و كليه مرزها ( محدوديتها)ي شما در مديريت محتوا را از پيش رو بردارد .»
اين تمامي مطالبي بود كه درباره برنامه ركسان در سايت فوق گفته شده بود. همانطور كه مشاهده مي كنيد كوچكترين حرفي از امنيت اين برنامه زده نشده است. زيرا كه امنيت هنوز جايگاه خود را در شركتهاي برنامه نويسي وب پيدا نكرده و شايد همين اتفاق دستمايه اي شود براي مديران شركت رهنما كه هر چه زودتر فكري براي برنامه هاي ناامن خود كنند.
حتي خود سايت رهنما نيز از اين مشكل امنيتي رنج مي برد. ركسان كه توسط jsp نوشته شده است حتي روي ورودي هاي خود كوچكترين كنترلي نگذاشته است و همين نقطه ضعف كوچك باعث مي شود كه هكر به عمق نرم افزار نفوذ كرده و با به دست آوردن پسورد مدير سايت صفحه اول سايت را دستكاري كند. اما جاي اين سوال باقي است كه چرا شركت هايي در حد و اندازه رهنما نبايد كوچكترين فكري به حال امنيت برنامه هاي كاربردي خود بكنند. برنامه هايي كه اكثرا روي وب و در دسترس عموم است.
واقعا بايد گفته كه اينگونه برنامه هاي كاربردي فقط براي بهشت طراحي شده اند و در زميني كه انواع شرارت در آن موج مي زند بهتر است فكري براي محصولهاي ناامن خود بكنيم.
برنامه هاي ديگري توسط اين شركت ساخته شده اند كه احتمال آسيب پذير بودن آن وجود دارد و توصيه ما به استفاده كنندگان از اين برنامه اين است كه حتما از امنيت آن اطمينان حاصل كنيد و سپس آنها را به كار بريد.
از برنامه هاي توليد شده توسط شركت رهنما به شرح زير مي باشد:
ركسان
بازارچه الكترونيكي
فروشگاه اينترنتي
مديريت سرويس دهندگان اينترنت
اما سايتهايي كه از برنامه RoXan استفاده مي كنند به شرح زير مي باشند :
1. تکادو
2. سازمان مديريت و برنامه ريزي استان اصفهان
3. اصفهان تکفا
4. جشنواره کار آفريني شيخ بهايي
5. اتاق بازرکاني و صنايع و معادن استان اصفهان
6. موسسه حسابرسي امجد
7. شرکت سهامي آب منطقه اي اصفهان و چهارمحال بختياري
8. پلار
9. انجمن آمار ايران
10. سازمان تامين اجتماعي استان اصفهان
11. شرکت شهرکهاي صنعتي استان اصفهان
12. انجمن بيماري شناسي گياهي ايران
13. شرکت واحد اتوبوسراني اصفهان و حومه
14. خانه رياضيات اصفهان
15.سازمان اسناد و کتابخانه ملي ايران
16. پارس سيستم
17.سازمان بازرگاني استان اصفهان
18. بنياد فرهنگي و آموزشي امام صادق
19. انجمن علمي پريودنتولوژي ايران
20. پژوهشکده فرهنگ هنر و ارتباطات
21.دکتر مريم شمس لاهيجاني
22.سيتکو
منبع : مجله اکترونيکي امنيت وب
