برنامه Cppcheck ابزار آنالیز سورس کدهای برنامههای C و CPP جهت یافتن اشتباهات برنامه نویسی، مشکلات امنیتی، نشتی حافظه و امثال آن است. این برنامه رایگان و سورس باز را میتوانید از آدرس زیر دریافت کنید:CPPCheckدر دو نسخهی خط فرمان و همچنین GUI عرضه میشود که نگارش دارای UI آن از QT استفاده میکند. تا به حال 22 باگ موجود در کرنل لینوکس توسط این برنامه کشف و برطرف شده و همچنین در بسیاری از برنامههای سورس باز دیگر نیز مورد استفاده قرار گرفته ...
Eazfuscator یکی از برنامههای با کیفیت code obfuscation مخصوص دات نت فریم ورک است. این برنامه رایگان بوده و استفاده از آن به سادگی drag & drop فایل dll یا exe برنامه خود بر روی پنجره آن میباشد (یا استفاده از آن از طریق خط فرمان جهت اتوماسیون اینکار)ویژگیهای آن:Easy to use as 1-2-3Automatic code protection with variety of supported obfuscation techniques: Symbol renaming String encryption Constant literals pruning Method signatur ...
Babel Obfuscator یک ابزار خط فرمان سورس باز code obfuscation اسمبلیهای دات نت فریم ورک است.این ابزار موارد زیر را پشتیبانی میکند:- Support NET Framework 1.1, 2.0, 3.5- Obfuscate Namespace, Type (aslo generic types), Method, Events, Properties and Fields- Unicode Normalization- Support Generic Types and Virtual Function Obfuscation- MSIL Control Flow Obfuscation- String Encryption- Dead Code Removal- Selective Obfuscation with XML Rule F ...
فرض کنید یک سرور را بر روی اینترنت قرار دادهاید و از SMTP Server متعلق به IIS قصد دارید جهت ارسال ایمیل توسط برنامههای خود استفاده نمائید. در این حالت مواردی را باید رعایت نمود تا این سرور تبدیل به سرور رایگان ارسال spam توسط "دشمنان" نشود.1- پورت پیش فرض را عوض کنیدپورت پیش فرض اتصال به SMTP Server مساوی 25 است. از آنجائیکه به سادگی در برنامههای خود میتوان این پورت را نیز تنظیم نمود، بهتر است به عنوان اولین قدم، این پورت را تغییر داد. ...
اگر پیش فرضهای IIS را تغییر نداده باشید، تمامی اعمال رخ داده در طی یک روز را در یک سری فایلهای متنی در یکی از آدرسهای زیر ذخیره میکند:IIS 6.0: %windir%\System32\LogFiles\W3SVC<SiteID>IIS 7.0: %systemDrive%\Inetpub\logfilesاطلاعات فوق العاده ارزشمندی را میتوان از این لاگ فایلهای خام بدست آورد. اعم از تعداد بار دقیق مراجعه به صفحات، چه فایلهایی مفقود هستند (خطای 404)، کدام صفحات کندترینهای سایت شما را تشکیل میدهند و الی آخر.ما ...
FreeTextBox یکی از ادیتورهای متنی بسیار خوب تحت وب ASP.Net است که از نگارش 1 تا 3 و نیم ASP.Net را پشتیبانی میکند. به همراه آن یک image gallery هم جهت آپلود تصاویر ارائه میشود که بسیار ارزشمند است. اما مشکلی که دارد عدم بررسی پسوند فایل آپلود شده است. به عبارتی خاصیت AcceptedFileTypes آن هنگام آپلود تصاویر بررسی نمیشود و میتواند مشکلات امنیتی حادی را به وجود آورد (برای مثال شخص بجای تصویر میتواند فایل aspx را نیز آپلود کند). راه حلی ...
مطالبی توسط تیم Security Development Lifecycle مایکروسافت منتشر شده مبنی بر اینکه آنها هم یک سری از توابع استاندارد زبان C را در کدهای جدید خود ممنوع کردهاند. مستندات آنرا در مقاله زیر میتوانید مشاهده نمائید:Security Development Lifecycle (SDL) Banned Function Callsاخیرا فایل header آن نیز مطابق آخرین به روز رسانیهای مورد استفاده منتشر شده است:banned.h - list of Microsoft Security Development Lifecycle banned APIsاستفاده از این توابع ...
خلاصهی جدول زیر یک جمله است: به مهاجم امکان دیباگ برنامه را ندهید! تنظیمات نا امن تنظیمات امن <configuration><system.web><sessionState cookieless="UseUri"> <configuration><system.web><sessionState cookieless="UseCookies"> <configuration><system.web><httpCookies httpOnlyCookies="false"> <configuration><system.web><httpCookies httpOnlyCookies="true"> <configu ...
اگر سخنان بزرگان برنامه نویسی را مطالعه کرده باشید، یکی از موارد این بود:" هیچگاه از gets و sprintf استفاده نکنید، در غیر اینصورت شیاطین به زودی به سراغ شما خواهند آمد! (FreeBSD Secure Programming Guidelines) "به عبارت دیگر استفاده از توابع کتابخانههای استاندارد زبان C ، بدون ملاحظات لازم (یا همان برنامه نویسی کلاسیک به زبان C )، منشاء بسیاری از حملات Buffer overrun است، زیرا اکثر این توابع اندازهی بافر یا رشتهی ورودی را بررسی نمیکنند. ...