تبلیغات
دانلود بازی,نرم افزار,موبایل,چت روم,پلاگین,یاس چتET-CHAT - جلو گیری از هک مدیریت چت روم ای تی

دانلود بازی,نرم افزار,موبایل,چت روم,پلاگین,یاس چتET-CHAT

پنجشنبه 11 آبان 1391

جلو گیری از هک مدیریت چت روم ای تی

نویسنده: امیر فرهادی   طبقه بندی: ET-CHAT، 

Blog Skin

برای دریافت به ادامه مطلب رجوع کنید

اخیرا یک سری افراد سودجو و بی فرهنگ در چت روم های فارسی بخصوص چت روم های ای تی چت مردم اذیت میکنند با این نکات شما می توانید از هک مدیریت چت روم خود جلوگیری فرمایید. در این آموزش به بالا بردن امنیت چت روم ای تی چت میپردازیم تا جلو این ادمای الاف وبیکار که ۲۴ ساعت که کاری جز مردم ازاری ندارن گرفته بشه

چت روم فارسی ادامه می دهد:

ابتدا در مورد این افراد عرض کنم خدمت دوستان : این افراد که با یاد گرفتن یک تغییر ای پی ساده خودشون رو تو جو گم میکنن و هکر میگن وای به روزی که چیزی بارشون باشه : دی

با هک مدیریت ای تی چت شروع کنیم :

خب ای تی چت یه سری مشکلاتی داره اما بدترین مشکل اسکریپت ETCHAT پسورد نداشتن پنل مدیریت میباشد و فایل های که در مسیر اصلی قرار دارن

برای مثال وقتی با اکانت مدیریت وارد چت روم بشیم پسوردی برای ورود به پنل نیمخوادو با استفاده از کوکی و درجه ی که لاگین کردیم محاسبه میکنه و لینک پنل میده

اما خب چرا این لینک رو به ما میده؟ چون :  در فایل جی اس مربوط به داخل چت روم یک خط مربوط به منو مدیریت هست به این شکل :‌

// Adminbereich
if (self.userPrivilegienGlobal==”gast”){
$(“form_right”).innerHTML+=”   \“;
$(“link_admin”).onclick = function(){
var hoehe = $(‘chatinhalt’).getHeight();
var breite = $(‘chatinhalt’).getWidth();
var win_admin = new Window({url: “./?AdminIndex”, className: self.win_style, width:breite, height:hoehe, top:20, left:10, resizable: true, showEffect:Effect.Appear, hideEffect: Effect.Fade, showEffectOptions: {duration:0.5}, hideEffectOptions: {duration:0.5}, draggable: true, minimizable: true, maximizable: true, destroyOnClose: true });
//win_prop.maximize();
win_admin.show();
}
}

خب این یعنی وقتی اگه کسی که لاگین کرد و درجه ی مدیریت داشت پنل مدیریت لینکش داخل چت روم اضافه بشه که بنده توی لوکال بلاخره بعد تست های بسیار زیاد تونستم دور بزنم این قسمت را !!(تا حالا کسی این کارو نتونسته)

مورد بعدی اینکه طرف اگه کمی وارد باشه میتونه با استفاده از مهندسی اجتماعی پسورد ادمین رو بزنه ویا اگه بتونه کوکی های ادمین رو بزنه بازم کارای زیادی میشه باهاش کرد

مورد بعدی هم در مورد اسنیف کردن ادمین ها و ناظر هاست (که توضیحات زیاد میشه اینجا نمیشه بگیم)

خب جدیدا یک اکسپلویتی که بیرون اومده و میشه باهاش شل اپلود کرد در این مسیر

www.domain.com/styles/admin_tpl/createNewSmilies.tpl

و از این مسیر شل اپلود میکنن که بهش میگن باگ rfu

البته من تست نکردم شاید باگ xss هم داشته باشن

خب برای مقابله با این روش شما باید سطرح دسترسی پوشه شکلک را از حالت ۷۷۷ در بیارید و بزارید روی ۷۵۵ و داخل تمامی فایل ها  و htaccess را نیز

روی ۶۴۴ بگذارید

حالا برای اینکه این مسیر رو ببندیم میاییم رو پوشه admin_tpl پسورد میزاریم )protect password)

بعد از انجام این کار بازم کارای دیگه ای هم میتوانید بکنید

داخل admin_tpl فایل index را باز کرده  واز داخل ان میتوانید محدودیت های زیادی اعمال کنید بطوری که وقتی که حتی با اکانت مدیریت وارد چت روم شد از اومدنش پشیمون بشه (یعنی هیچ تغیراتی نتونه بده) اما حذف کردن قسمت اپلود شکلک و قسمت تنظیمات عمومی چت تا حد ۹۹% جلوی اپلود شل را میگیره

لطفا بخاطر داشته باشید تمامی فیلم های جمع آوری شده در این سایت که با همت دوست خوبم حسین بوده برای آموزش مدیریت چت روم ای تی می باشد نه هک چت روم و آزار اذیت کاربران و مدیران چت روم های فارسی.


منبع:etchat.ir

طبقه بندی

نویسندگان

آمار وبلاگ

  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :