آموزش جلوگیری از SQL Injection و ران شدن شل C99 در ویبولتین

شروع موضوع توسط FaRhAd ‏11 آوریل 2012 در انجمن آموزش های وی بولتین

  1. FaRhAd

    FaRhAd کاربر جدید

    تاریخ عضویت:
    ‏29 دسامبر 2011
    ارسال ها:
    98
    تشکر شده:
    0
    درود.
    امروزه هک کردن سایتها برای هکران کار ساده ای شده و این فقط به خاطر بی توجهی ما نسبت امنیت سایتمون هستش
    امروز براتون اموزشی رو قرار میدم تا امنیت سایتتون در برابر هکران مثلا قدرتمند ایمن کنید.

    اسکریپت ویبولتین بصورت دیفالت دارای باگ SQL Injection نمی باشد .

    ولی ممکن است شما افزونه هایی داشته باشید که باعث شود این باگ در آن ها وجود داشته باشد .

    بدین منظور با استفاده از کد های زیر در .htaccess سایت خود میتوانید سایت خود را در برابر SQL Injection که دارای دستور های union select و order by میباشد امن کنید .

    فایل .htaccess موجود در روت هاست خود را باز کنید .

    نکته 1 : این فایل ممکن است پنهان باشد .

    نکته 2 : این فایل ممکن است وجود نداشته باشد اگر نداشت خودتان بسازید .

    کد ها :

    PHP:
    RewriteEngine On


    RewriteCond 
    %{QUERY_STRINGact= [OR]
    RewriteCond %{QUERY_STRINGsw= [OR]
    RewriteCond %{QUERY_STRINGact [OR]
    RewriteCond %{QUERY_STRINGsw [OR]
    RewriteCond %{QUERY_STRING0x3a [OR]
    RewriteCond %{QUERY_STRINGbase64_encode.*\(.*\) [OR]
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(;|<|>|||\)|%0A|%0D|%22|%27|%3C|%3E|).*(/\*|union|concat).* [NC]
    RewriteRule .* - [L,F]
    لازم به ذکر است با کد های فوق امکان بسته شدن شل C99 در فایل subscription.php یا هر فایل دیگری وجود دارد .

    علاوه بر این با اینکار از باگ های ویبولتین در بخش های search.php و group.php میتوانید جلوگیری کنید .

    کد های فوق در وی بی ایران نیز استفاده میشوند .

    منبع : وی بی ایران

    موفق باشید.