IT Solution and Security Research

درود

از تابستان بود که به فکر نوشتن این کتاب افتادم.اوایل مهر ۱۳۸۶ بود که نوشتن را آغاز کردم.تقریبا خسته کننده بود ، اما من نوشتم.ابتدا قصد داشتم کتاب را پس از کامل شدن ، برای چاپ آماده کرده و به چاپ برسانم.اما بعد از مدتی پشیمان شده و تصمیم به انتشار کتاب به صورت الکترونیکی شدم.کتاب زیر که اولین ویرایش از کتاب است ، حدود ۳ ماه وقت برده است.کتاب تقریبا ۱۵۰ صفحه است.کتاب کامل نیست و حدودا همین مقدار  ( ۱۵۰ صفحه یا بیشتر ) از مطالب آن باقی مانده است.از آنجا که به نظر بده نگارش کتاب به قسمت قابل توجهی رسید تصمیم گرفتم نسخه ۰/۸  آن را به علاقه مندان عرضه کنم.دوستان ، صاحب نظران و کسانی که به نوعی با این زبان آشنایی دارند ، اگر کتاب را مطالعه فرمودند و اشکالی در آن یافتند به اطلاع بنده برسانند ، تا در نسخ آتی بر طرف شود(حتما مشکلاتی را مشاهده خواهید کرد زیرا وضعیت بنده ، اشکالات تایپی و نبود فرصت برای تست برخی اسکریپتها مشکل آفرین هستند ). شکل کتاب ، سر فصل ها ، ویرایش املا و مواردی از این قبیل تا نسخه انتهایی ( شاید ۲ و یا ۳ ) به همین صورت خواهد بود.پس از آن تصمیم به انتخاب یک قالب مناسب ( همراه با فهرست ، منابع ، کلمات انگلیسی و … )  میگیرم.

از دوستان عزیزی که این مطلب را میخوانند خواهش دارم برای رسیدن این کتاب به دست علاقه مندان، توضیح زیر را به همراه لینک بارگزاری کتاب در وبلاگ ، وبسایت و … معرفی کرده ، بر بنده منت گذاشته و بنده را به هدف خود ( آگاهی و بالا رفتن سطح علمی ) نزدیک تر کنند.پیشاپیش از تمام کسانی که این کار را انجام میدهند ، کمال قدر دانی را دارم.

 با تشکر ، برادر کوچکتر شما ، شهریار جلایری .

——  شروع توضیحات  ——

نام کتاب : حمله و  دفاع در برنامه های کاربردی وب مبتنی بر  زبان ( نسخه ۰/۸ )

با توجه به افزایش برنامه های کاربردی وب که مبتنی بر زبان PHP   و دیتابیس Mysql ، برآن شدم تا کتابی تحت عنوان ” شرح حملات و نحوه دفاع در مقابل حملات”  را برای برنامه نویسان این زبان قدرتمند عرضه کنم.عقیده شخصی بنده بر این اساس استوار است که یک وب مستر ، برنامه نویس ، طراح سایت  و… برای جلوگیری از نفوذ باید با  راه های نفوذ آشنایی نسبی داشته باشد. هیچ یک از نفوذ گر ها و هکر ها مثل  هم فکر نمیکنند ، اما یک برنامه نویس با داشتن ذهن باز و آشنا با حملاتی که برنامه وی را تهدید میکنند ، میتواند برنامه ای امن تر بنویسد و با داشتن تفکر یک نفوذ گر میتواند قبل از تهدید و نهایتا نفوذ توسط یک هکر  ،خود مانند یک نفوذ گر عمل کرده و نقاط ضعف و قوت را شناخته ، در صدد تقویت و رفع آنها برآید.

در این کتاب همانطور که در عنوان مشهود است ، قصد دارم راه های نفوذ و دفاع را در برنامه های وب مبتنی بر زبان PHP  به شما بیاموزم.ابتدا شما را با مفاهیم پایه ای آشنا کرده و سپس توابع  و دستورات  خطر آفرین را معرفی  و نحوه نفوذ و دفاع هر یک را شرح میدهم. در آخر نیز تعدادی از ابزارهای خود کار را که میتوانند نقش مهمی را  در رسیدن به هدفتان ( که برنامه ای امن است ) بازی کنند و هر چه سریعتر باعث تحقق این هدف شوند.

نکته ۱ : در این کتاب هیچ گونه آموزشی در باره زبان برنامه نویسی PHP  صورت نمیگیرد و خواننده باید آشنایی نسبی با برنامه نویسی این زبان را داشته باشد.

نکته ۲: تمامی روش ها ، اسکریپت ها و برنامه های معرفی شده در این کتاب ، صرفا جنبه آموزشی داشته و نویسنده و وبسایت های ارائه دهنده کتاب ، مسئولیت هیچ یک از اعمال خرابکارانه صورت گرفته توسط خوانندگان این کتاب را بر عهده نمیگیرد/نخواهد گرفت.

نکته ۳: هر گونه چاپ ، تهیه جزوه و تکثیر این کتاب ممنوع میباشد.تمامی حقوق برای نویسنده ، تیم تحقیقاتی امنیتی ناشناخته و وبلاگ امنیت PHP محفوظ میباشد و هرگونه کپی برداری از مطالب در وب  ، با ذکر منبع بلا مانع میباشد.

نگارنده : شهریار جلایری

لازم به ذکر است ، در تمامی فصول مربوط به حملات، روش های حمله ، برنامه نویسی اشتباه و روش جلوگیری از حملات درج شده است ، اما از آوردن آن سر فصل ها در فهرست زیر خودداری کردم.

مطالب این نسخه :

فصل اول : مقدمه

مقدمه

اکسپلویت

فصل دوم : کوکی، نشت، متغییر ها

نیازمودن متغییر ها

نشست ها

کوکی ها

فصل سوم : حملات پیمایش دایرکتوری ها

پیمایش دایرکتوری ها

فصل چهارم : حملات فراخوانی فایلها

فراخوانی فایل ها از راه دور

فصل پنجم : حملات اجرای فرامین

اجرای فرامین

فصل ششم : حملات تزریق کد  به فایل های لاگ سیستمی

حملات تزریق کد PHP به فایل های لاگ سیستمی

فصل هفتم : حملات XSS

حملات XSS

انواع حملات XSS

کدهای کاربردی

حمله از طریق Flash

فصل هشتم : حملات ورود به زور

تشریح حملات

حملات دیکشنری

معرفی ابزار

فصل نهم : حملات تزریق کدهای SQL

تشریح حملات

مقدمه ای بر زبان SQL

تشریح آسیب پذیری

تشریح چند برنامه آسیب پذیر

روش ایمن سازی

فصل دهم : شلر ها

شلر ها چه هستند؟

بررسی جزء به جزء

فصل یازدهم : کدهای مخرب

مقدمه

نوشتن کدهای مخرب

PHP و خط فرمان

سوکت نویسی

بررسی و نوشتن انواع کدهای مخرب

فصل دوازدهم : ویروس های مبتنی بر PHP

تشریح مبحث

روش های آلوده سازی و …

این فصل کامل نیست و در ویرایش های آینده کامل خواهد شد.

بارگزاری — لینک ۱ - لینک ۲ 

—– پایان توضیحات  ——