آژانس هواپیمایی
tanki

سوال در مورد امنیت سایت

شروع موضوع توسط sshaffafi10 ‏13 نوامبر 2007 در انجمن asp , ASP.NET

  1. sshaffafi10

    sshaffafi10 کاربر تازه وارد

    تاریخ عضویت:
    ‏24 سپتامبر 2007
    نوشته ها:
    32
    تشکر شده:
    1
    سلام دوستان.خسته نباشید.
    من یه سایت نوشتم که یه قسمت مدیریت داره.ولی اگر کسی تو آدرس بار
    آدرس manager.aspx/ رو وارد کنه راحت میتونه به قسمت مدیریت
    دسترسی پیدا کنه.میشه کمک کنید؟
     
  2. Graveworm

    Graveworm Registered User

    تاریخ عضویت:
    ‏23 می 2005
    نوشته ها:
    1,063
    تشکر شده:
    12
    محل سکونت:
    Tehran
    خوب این بخش مدیریت شما، login نداره ؟؟
     
  3. sshaffafi10

    sshaffafi10 کاربر تازه وارد

    تاریخ عضویت:
    ‏24 سپتامبر 2007
    نوشته ها:
    32
    تشکر شده:
    1
    چرا داره.ولی اگه کسی بالاش آدرس مدیریتو بزنه بدون لوگین وارد مدیریت میشه
     
  4. m3hrz4d

    m3hrz4d Registered User

    تاریخ عضویت:
    ‏21 سپتامبر 2005
    نوشته ها:
    620
    تشکر شده:
    1
    محل سکونت:
    اصفهان
    شما از چه سیستمی واسه Login استفاده میکنی؟ Session ؟
     
  5. miladkdz

    miladkdz کاربر تازه وارد

    تاریخ عضویت:
    ‏30 آگوست 2003
    نوشته ها:
    176
    تشکر شده:
    0
    محل سکونت:
    Tehran, Ekbatan
    دوست عزیز! با یه کم تغییر تو فایل web.config و آشنایی با Role manager و User Identification میتونید از قدرت بسیار زیاد ASP.net استفاده کنید!

    اگه میخواین کتاب بهتون معرفی کنم.
     
  6. Graveworm

    Graveworm Registered User

    تاریخ عضویت:
    ‏23 می 2005
    نوشته ها:
    1,063
    تشکر شده:
    12
    محل سکونت:
    Tehran
    خوب پس این چجور لاگینی هست ؟
    شما auth check ندارید ؟
    سیستم لاگین شما چجوریه ؟
     
  7. خرید بیت کوین
  8. sshaffafi10

    sshaffafi10 کاربر تازه وارد

    تاریخ عضویت:
    ‏24 سپتامبر 2007
    نوشته ها:
    32
    تشکر شده:
    1
    اکسسه ولی از سشن استفاده نکردم.حالا لطفا راهنمایی منید.
     
  9. sshaffafi10

    sshaffafi10 کاربر تازه وارد

    تاریخ عضویت:
    ‏24 سپتامبر 2007
    نوشته ها:
    32
    تشکر شده:
    1
    اقا میشه یه کم در مورد این auth check واسم توضیح بدید؟
     
  10. sshaffafi10

    sshaffafi10 کاربر تازه وارد

    تاریخ عضویت:
    ‏24 سپتامبر 2007
    نوشته ها:
    32
    تشکر شده:
    1
    ممنون می شم اگه کتاب معرفی کنید.
     
  11. Graveworm

    Graveworm Registered User

    تاریخ عضویت:
    ‏23 می 2005
    نوشته ها:
    1,063
    تشکر شده:
    12
    محل سکونت:
    Tehran
    ببینین شما با یه سیستم لاگین میاید دسترسی عمومی از یه سری صفحه رو قطع میکنین.
    به این صورت که اقراد برا ورود به صفحه های خاص، بایستی اعتبار سنجی بشن.
    شما تو صفحه لاگین، user pass وارد شده رو با database چک میکنی..
    اگه اشتباه بود که هیچ. اگه درست بود، میای براش یه اعتبار، میسازی تا وب سایت شما بدونه این کاربر، کسی هست که با User password درست، از سیستم لاگین شما گذشته، و حق داره صفحات private رو ببینه

    و شما این اعتبار سنچی رو در صفحات private خودتون انجام میدید. میاید چک میکنین آیا کاربر ، تمامی مشخصات لازم رو داره برا دیدن اون صفحه یا نه.
    سیستم که هوش نداره خودش بیاد بفهمه به خاطر اینکه کاربر فقط لاگین کرده، میتونه فلان صفحه رو ببینه و بقیه نتونن.

    این کار رو باید بعد از موفقیت آمیز بودن عمل لاگین ، انجام بدی. معمولا با کوکی ها یا session میتونی انجام بدی..
     
  12. sshaffafi10

    sshaffafi10 کاربر تازه وارد

    تاریخ عضویت:
    ‏24 سپتامبر 2007
    نوشته ها:
    32
    تشکر شده:
    1
    من این کارا رد انجام دادم.فقط از session استفاده نکردم.حالا اگه از سشن استفاده کنم دیگه کسی نمیتونه وارد شه؟
    اگر اینطوریه لطف کنید سشنو به من یاد بدید.
     
  13. Graveworm

    Graveworm Registered User

    تاریخ عضویت:
    ‏23 می 2005
    نوشته ها:
    1,063
    تشکر شده:
    12
    محل سکونت:
    Tehran
    بعد از کدهایی که توسط اون ها، کاربر رو verify کردی و حالا اجازه عبور داره این خط رو بنویس :

    کد:
    Session.Contents("IsAllowed") = "yes"
    response.redirect("adminpage or what ever!")
    
    
    حالا در صفحاتی که میخوای فقط کسی که لاگین کرده ببینه
    درPage Load اینجوری چک کن:

    کد:
    if  Session.Contents("IsAllowed") <> "yes"  then
    response.redirect("accessdenied.aspx")
    end if
    
    
    حالا اگه کسی لاگین نکرده باشه ، session مربوطه براش ساخته نشده . و حالا میخواد وارد صفحات ادمین بشه، شرط اول صفحه براش صدق نمیکنه و به صفحه accessdenied.aspx میره.
    البته .net روش های جدید و دیگری رو هم برا Authentication, Authorization داره . البته این روش که گفته شد ساده هست و کاراییش رو داره :)
     
  14. sshaffafi10

    sshaffafi10 کاربر تازه وارد

    تاریخ عضویت:
    ‏24 سپتامبر 2007
    نوشته ها:
    32
    تشکر شده:
    1
    آقا خیلی ممنون.فقط من یادم رفت بگم که پروژم با سی شارپه.شرمنده.اگه دو باره راهنمایی کنید ممنون می شم.
     
  15. Graveworm

    Graveworm Registered User

    تاریخ عضویت:
    ‏23 می 2005
    نوشته ها:
    1,063
    تشکر شده:
    12
    محل سکونت:
    Tehran
    خوب روال و محل کدها که قرقی نمیکنه ..
    اینهم تبدیل کدها :


    کد:
    Session.Contents["IsAllowed"] = "yes";
            Response.Redirect("adminpage or what ever!");
    

    کد:
    protected void Page_Load(object sender, EventArgs e)
        {
    
            if  ( Session.Contents["IsAllowed"] != "yes" ) {
    
                Response.Redirect("accessdenied.aspx");
            }
        }
    
     
  16. H_R

    H_R مدیر بازنشسته

    تاریخ عضویت:
    ‏30 مارس 2005
    نوشته ها:
    3,285
    تشکر شده:
    17
    محل سکونت:
    North Pole
  17. sshaffafi10

    sshaffafi10 کاربر تازه وارد

    تاریخ عضویت:
    ‏24 سپتامبر 2007
    نوشته ها:
    32
    تشکر شده:
    1
    آقایون واقعا از راهنماییتون ممنونم.
     
  18. sshaffafi10

    sshaffafi10 کاربر تازه وارد

    تاریخ عضویت:
    ‏24 سپتامبر 2007
    نوشته ها:
    32
    تشکر شده:
    1
    آقایون واقعا دستتون درد نکنه.متشکرم.
     
avanak همکاری در فروش عسل طبیعی و گرده گل ایرانیتبلیغات در گوگل