ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
در اينجا توسط يك ماتريس از قبل تعريف شده، {xxxx-xxxx-xxxx-xxxx}به نام صفحه اشارهمي كند.در اين صورت كار براي برنامه نويس آسان تر شده، اما براي مهاجم همچنان سخت باقي ميماند.با گمراه كردن نفوذگران و تلفكردن زمان آنها، هم از وقوع حمله با خبر مي شويد و هم تا حد-زيادي عمليات نفوذ را به تعويق مياندازيد.براي گمراه كردن نفوذگران، مي توان از پوشه هايي كهنفوذگران همواره در ابتدا به دنبال آنها هستند، استفاده كرد. بعضي از اين نام ها به صورت زير هستند:/admin/, /admin/db/, /admin/logs/, /database/, /editor/, /statistic/, /backup/,/admin/uploader/, /admin/filemanager/, /admin/users/, /cpanel/, /ftp/, …با تفكر بيشتر مي توان نام هاي ديگري نيز با توجه به كلمات مهم متداول پيدا كرد. با ساختن اينپوشه ها به صورت خالي وجعلي، زمان بسياري از نفوذگران تلف مي شود.حتي مي توان پوشه اي بههمراه فايل هاي جعلي، فقط به منظور ذخيره حركات نفوذگر درست كرد.براي مثالوجود داشته باشد، اما همواره پيغام خطاي"نام كاربري يا رمز عبور صحيح/admin/login.asprobots.txtنيست"را برگرداند و حركات نفوذگر را ذخيره كند.در اين راه، فايلبا نيز مي تواند-راهنمايي كردن نفوذگر به بعضي از اين پوشه ها گمراه كند.سرويس دهنده وب و برنامه كاربردي خود را طوري تنظيم كنيد كه در صورت بررسي نام فايل ها وپوشه ها در پوشه هاي موجود،وقتي كه خطايي رخ مي دهد(مثلا وقتي وجود ندارند)، همواره همانصفحه آخري را نمايش دهد كه در آن خطايي رخ نداده است و يا اينكه يك صفحه تصادفيدر سايتنمايش داده شود. براي مثال فرض مي كنيم كه مهاجم در پوشه زير مي خواهد به دنبال نام فايل ها وساير پوشه ها بگردد:/news/127