Anti SQL Injection attack

[Acaro]

با سلام

دوستان با اضافه كردن اين Addon به سايت Nuke خود مي توانيد از SQL Injection كه با استفاده از متد union مي باشد در امان باشيد ... با اين متد هكر مي تواند درخواست رمز عبور شما بصورت Hash را بكند كه به سادگي با يك برنامه مي تواند كلمه عبور كاربر God يا همان مدير اصلي سايت را بدست آورد ... البته در صورتي كه از نسخه هاي امنيتي استفاده كرده باشيد كار هكر به مراتب سخت تر خواهد بود /// با استفاده از اين اضافه شونده در زماني كه كسي قصد هك سايت را داشته باشد صفحه اي باز شده كه تمامي مشخصات IP هكر را نشان مي دهد در ضمن به هكر هم يادآور مي شود كه تمام اطلاعات ذخيره شده و زحمت بيهوده نكشد ... سپس تمامي اطلاعات به همراه اطلاعات IP شخص براي شما توسط پست الكترونيك فرستاده مي شود ...

آدرس دريافت فايل : http://www.bazidot.com/downloads-cat-21.html

فايل Hack Alert

البته بايد يادآور بشم براي دريافت فايل عضويت در سايت لازم است

نحوه نصب را هم اينجا مي نويسم تا اگر در ترجمه مشكلي داشتيد از اين متن استفاده كنيد ....

پس از دريافت فايل آنرا از حالت فشرده خارج كنيد

1- فايل CAUGHT.png را به اين آدرس روي سرور خود منتقل كنيد :

http://www.yoursite.com/images/CAUGHT.png

2- فايل mainfile.php را اديت كرده و كد زير را درست بعد از تگ ?> اضافه كنيد

if (stristr($_SERVER["QUERY_STRING"],'%20union%20')) {
	$loc = $_SERVER['QUERY_STRING'];
	header("Location: hackattempt.php?$loc");
	die();
}

نكته مهم : اگر از نسخه هاي PHP قبل از نسخه 4.1 استفاده مي كنيد اين كد را اضافه كنيد :

if (stristr($HTTP_SERVER_VARS["QUERY_STRING"],'%20union%20')) {
	$loc = $HTTP_SERVER_VARS['QUERY_STRING'];
	header("Location: hackattempt.php?$loc");
	die();
}

3- فايل hackattempt.php را اديت كنيد :

	$eMailTo           = "[email protected]"; آدرس پست الكترونيك خود را وارد كنيد
	$eMailSubject      = "Hack Attempt"; موضوع نامه فرستاده شده را مشخص كنيد
	$eMailExtraHeaders = "From: $eMailTo\n"; فرستنده نامه را مشخص كنيد-همين پارامتر باشد بهتر است 
	$sendAdminEmail    = TRUE;تغيير دهيد False براي فرستادن نامه است اگر نمي خواهيد نامه اي فرستاده شود مقدار را به 
	$testIP            = ''; //Only use this to test a particular IP lookup

4- فايل hackattempt.php را به سرور خود درست در Root يا همان شاخه اصلي در جايي كه فايل mainfile.php مي باشد منتقل كنيد...

براي تست اينكه كارها را درست انجام داده ايد يا نه لينك زير را وارد كنيد :

http://www.Your Site.COM/modules.php?name=Web_Links&l_op=viewlink&cid=1%20union%20select

اين هم يك نمونه از ميل ارسال شده ... البته قسمت هاي ديگر مربوط به اطلاعات سايت رو بنا به مسايل امنيتي حذف كردم :

217.218.127.72   IP          

OrgName:    RIPE Network Coordination Centre
OrgID:      RIPE
Address:    Singel 258
Address:    1016 AB
City:       Amsterdam
StateProv:
PostalCode:
Country:    NL

ReferralServer: whois://whois.ripe.net

NetRange:   217.0.0.0 - 217.255.255.255
CIDR:       217.0.0.0/8
NetName:    217-RIPE
NetHandle:  NET-217-0-0-0-1
Parent:
NetType:    Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: AUTH00.NS.UU.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Comment:    These addresses have been further assigned to users in
Comment:    the RIPE NCC region. Contact information can be found in
Comment:    the RIPE database at [url]http://www.ripe.net/whois[/url]
RegDate:    2000-06-05
Updated:    2004-03-16

OrgTechHandle: RIPE-NCC-ARIN
OrgTechName:   RIPE NCC Hostmaster
OrgTechPhone:  +31 20 535 4444
OrgTechEmail:  [email][email protected][/email]

پايان داستان

 

[mehrdad1355]

اکارو جان اینو من خواست دان کنم میگه صفحه مورد نظر موجود نیست!
درضمن این برا چه ناکی هست؟؟ برا 7.4 هم لازمه و قابل استفاده هست؟؟؟؟