دسته: اخبار

در بخش اخبار سایت ایران‌سرور، جدیدترین اطلاعیه‌ها، به‌روزرسانی‌ها، تغییرات فنی و رویدادهای مهم مرتبط با خدمات ایران‌سرور منتشر می‌شود. اگر به‌دنبال اطلاع از آخرین تغییرات در سرویس‌ها، آپدیت‌های زیرساختی یا تصمیمات مهم شرکت هستید، این بخش بهترین مرجع برای شماست تا همیشه در جریان تازه‌ترین خبرهای دنیای میزبانی وب و فناوری قرار بگیرید.

آسیب پذیری های کشف شده در وردپرس (April 2021)

طبق روال همیشگی‌مان، در چهارمین ماه سال ۲۰۲۱ میلادی (آپریل)، همانند ماه‌های گذشته به معرفی آسیب پذیری‌های کشف شده مربوط به محبوب‌ترین سیستم مدیریت محتوای جهان، یعنی وردپرس می‌پردازیم. در ماه April، دو آسیب پذیری در سطح هسته وردپرس و تعداد بسیار زیادی آسیب پذیری در پلاگین‌ها و تم‌های وردپرسی شناسایی شده که شاید مهم‌ترین آن‌ها، آسیب پذیری‌هایی بودند که در پلاگین‌های محبوب و پر استفاده‌ی WooCommerce ، iThemes Security و Kaswara کشف شده‌اند. در ادامه، راجع به جزئیات هرکدام از این آسیب پذیری ها، بیشتر صحبت خواهیم کرد. آسیب پذیری‌ های کشف شده در هسته وردپرس در ماه گذشته میلادی، هسته اصلی وردپرس، با ۲ خطر و آسیب پذیری جدی مواجه شد: آسیب پذیری XXE در این مورد، یک کاربر با دسترسی آپلود فایل (مانند نویسنده) می‌تواند از یک نقص امنیتی که در parse کردن XML، در Media Library وجود دارد، سوءاستفاده و حمله XXE را اجرا کند. Media Library در وردپرس به کاربران امکان آپلود فایل برای استفاده در پست‌های وبلاگ را می‌دهد. برای استخراج meta information از این فایل‌ها (مثلا artist name، title و …) وردپرس از getID3 library استفاده می‌کند. برخی از این metadata ها به شکل XML پردازش می‌شوند و اینجاست که امکان استفاده از […]

آسیب پذیری ‌های کشف شده در جوملا (March 2021)

در این مقاله همانند هر ماه، قصد داریم به معرفی آسیب پذیری‌هایی که طی ماه گذشته میلادی (مارچ) در سیستم مدیریت محتوای جوملا کشف و برطرف شده است بپردازیم. همه این آسیب‌پذیری‌ها در هسته جوملا بوده‌اند و در نسخه ۳.۹.۲۶ برطرف شده‌اند. توصیه می‌کنیم اگر از سیستم مدیریت محتوای جوملا استفاده می‌کنید، هرچه سریع‌تر آن را به آخرین نسخه به‌روزرسانی کنید. آسیب‌ پذیری LFI فیلترهای ناکافی در ماژول Layout Settings، منجر به اجرای حمله Local File Inclusion و خواندن فایل‌های حساس سایت می‌شود. درجه اهمیت: Low نسخه‌های آسیب‌پذیر: ۳.۰.۰ – ۳.۹.۲۵ راه‌حل رفع مشکل: آپدیت به نسخه ۳.۹.۲۶ آسیب ‌پذیری XSS به دلیل escaping نامناسب، امکان اجرای حمله XSS از طریق پارامتر logo مربوط به template های پیش‌فرض در صفحات خطا، وجود دارد. درجه اهمیت: Low نسخه‌های آسیب‌پذیر: ۳.۰.۰ – ۳.۹.۲۵ راه‌حل رفع مشکل: آپدیت به نسخه ۳.۹.۲۶ پیشگیری کنید راه جلوگیری از بروز ایراد امنیتی، برای هر دو آسیب پذیری کشف‌ شده، بسیار ساده است. فقط کافی است آن‌ها را به آخرین نسخه ارائه‌شده آپدیت کنید. قبل از اینکه دیر شود و سایت‌تان در خطر بیفتد، اقدام کنید که بعداً پیشمان نشوید.

آسیب پذیری های کشف شده در وردپرس (March 2021)

مثل هر ماه، در سومین ماه میلادی سال ۲۰۲۱ (مارچ) نیز همانند ماه‌های گذشته، آسیب پذیری‌های مختلفی از جمله SQL Injection، Authentication Bypass، RCE و … در پلاگین‌ها و تم‌های وردپرسی زیادی کشف شده است. در ادامه راجع به جزئیات آن‌ها به‌طور مفصل صحبت خواهیم کرد. لطفاً تا پایان این مطلب با ما همراه باشید و در صورتی که از هرکدام از این موارد در وبسایت خود استفاده می‌کنید، بلافاصله آن را به آخرین نسخه به‌روزرسانی کنید تا سایت و کسب‌و‌کار اینترنتی‌تان با مشکلی از لحاظ امنیت مواجه نشود. اجازه دهید ابتدا سراغ پلاگین‌ها و آسیب پذیری‌های‌شان برویم. آسیب پذیری‌های کشف شده در پلاگین‌های وردپرس مطابق معمول، بسیاری از آسیب‌پذیری‌های کشف شده در سیستم مدیریت محتوای وردپرس، مربوط به پلاگین‌های آن هستند: آسیب پذیری XSS در پلاگین Woocommerce Customers Manager پارامترهای wccm_customers_ids و wccm_customers_emails به‌درستی توسط تابع sanitize_text_field() فیلتر نمی‌شوند و این موضوع منجر به حمله reflected XSS می‌شود. نسخه‌های آسیب پذیر در این پلاگین: ۲۶.۶ و ما قبل آن آسیب پذیری CSRF در پلاگین Woocommerce Customers Manager عملیات AJAX که در قسمت upload_csv برای کاربران authenticate شده فراهم است، به‌دلیل عدم بررسی مناسب CSRF، قابلیت اجرای این حمله (CSRF) را فراهم می‌کند و مهاجم با استفاده از آن می‌تواند، اکانت‌هایی با […]

آسیب پذیری های کشف شده در وردپرس (February 2021)

در دومین ماه میلادی سال ۲۰۲۱ نیز همانند ماه‌های گذشته، آسب‌پذیری‌هایی در پلاگین‌ها و قالب‌های وردپرس کشف شده است. در مقاله امروز ایران‌سرور، به بررسی این آسیب‌پذیری‌ها پرداخته و نکات مهم را به شما می‌گوییم. با ما همراه باشید. آسیب پذیری‌های کشف شده در پلاگین‌های وردپرس طبق روال همیشگی، ابتدا به بررسی باگ‌های موجود در افزونه‌های وردپرس می‌پردازیم و بعد به سراغ قالب‌ها می‌رویم. آسیب‌پذیری SSRF در پلاگین Under Construction, Coming Soon & Maintenance Mode فایل includes/mc-get_lists.php از پارامتر apiKey برای ایجاد https url بدون فیلتر استفاده می‌کند و منجر به حمله SSRF می‌شود. نسخه‌های آسیب‌پذیر در این پلاگین: ۱.۱.۲ و ما قبل آن آسیب‌پذیری XSS در پلاگین Under Construction, Coming Soon & Maintenance Mode این آسیب‌پذیری نیز مانند مورد قبلی به دلیل مشکلی که در فیلتر کردن ورودی‌های فایل includes/mc-get_lists.php وجود دارد، راهی برای حمله XSS Reflected ایجاد می‌کند. نسخه‌های آسیب‌پذیر در این پلاگین: ۱.۱.۲ و ما قبل آن آسیب‌پذیری XSS در پلاگین NextGEN Gallery Pro در ماژول eCommerce این پلاگین، امکان تزریق کدهای مخرب جاوا اسکریپت و حمله Reflected XSS وجود دارد. نسخه‌های آسیب‌پذیر در این پلاگین: ۳.۱.۱۱ و ما قبل آن آسیب‌پذیری API Key Disclosure در پلاگین Web-Stat زمانی که شما از یک وب‌سایت – که دارای […]

بررسی علت اختلال ۱۱ بهمن ماه ۹۹ در پورتال مشتریان و روند حل آن

یک ماه اخیر، روزهای خوبی برای ایران‌سرور نبود. همان طور که احتمالاً در جریان هستید، روز شنبه ۱۱ بهمن ماه در پورتال مشتریان ایران سرور اختلال شدیدی مشاهده شد که رفع کامل آن، تا ۲۱ بهمن ماه طول کشید. تیم توسعه ایران‌سرور از همان لحظه نخست مشاهده اختلال، پیگیری‌ها و اقدامات لازم برای رفع آن را آغاز کردند؛ اما چون مشکل از سمت WHMCS بود و این پلتفرم اجازه دسترسی به Source را نمی‌دهد، رفع مشکل زمان‌بر شد. حالا، در مطلب امروز وبلاگ می‌خواهیم ریشه مشکل، چالش‌های فنی و نحوه رفع این اختلال را با شما در میان بگذاریم. هدف از نوشتن این مقاله، انتقال تجربه و شفاف کردن موضوع برای شما همراهان عزیز است. امیدواریم که این تجربه برای‌تان مفید باشد. مشکل از کجا بود؟ اصل قضیه اینجا بود که وجود یک خطا باعث استفاده بیش از حد منابع سرور و در نتیجه از دسترس خارج شدن پورتال در زمان‌های پیک کاری شد. جمعه ۱۰ بهمن ماه پورتال مشتریان ایران‌سرور، با موفقیت از نسخه WHMCS 7.8 به WHMCS 8.1 به‌روزرسانی شد. تیم فنی بعد از اینکه از عملکرد صحیح فرایندهای اصلی مطمئن شدند، به روال عادی بازگشته و بعد از پایان ساعت کاری، به خانه رفتند. شنبه صبح با […]

خبر: برگزاری دومین رویداد لیبتک با حمایت هلدینگ دانش بنیان گرین وب

دومین رویداد لیبتک توسط سازمان اسناد و کتابخانه ملی ایران و با حمایت هلدینگ دانش بنیان گرین وب برگزار می‌شود. لیبتک چیست؟ این عبارت از ترکیب دو کلمه Library به‌معنای کتابخانه و Technology به‌معنای فناوری به وجود آمده است. به گزارش روابط‌عمومی گرین وب، این رویداد که «چالش تشخیص موضوع» نام دارد، با هدف به‌کارگیری فناوری‌های نوین و هوش مصنوعی در تحلیل متون کتابخانه‌ای و آرشیوی برگزار می‌گردد. این مجموعه از کسب و کارهای نوپا در حوزه هوش مصنوعی و فناوری اطلاعات، برای مشارکت در این رویداد دعوت به عمل می‌آورد. در این رویداد، کسب‌وکارهای نوپا در محیطی دانش محور به رقابت می‌پردازند و علوم و مهارت خود را به‌صورت عملی در راستای حل مسائل کشور به کار می‌گیرند. جایزه نفر اول شرکت کننده برترِ رویداد «لیبتک ۲» جایزه نقدی ۵۰۰ میلیون ریالی دریافت خواهد کرد. همچنین شخص برنده می‌تواند به‌منظور پیاده‌سازی و توسعه طرح‌های مرتبط، با سازمان اسناد و کتابخانه ملی ایران قرارداد امضا کند. به گفته سعید روشنی (رییس مرکز نوآوری توسعه کسب‌وکارهای داده محور) این نخستین بار است که یک مجموعه ارزشمند از داده‌های آموزشی از سوی سازمان اسناد و کتابخانه ملی ایران با هدف یادگیری عمیق مخاطبان، در اختیار ایشان قرار می‌گیرد. علاقه‌مندان برای حضور در […]

آسیب پذیری های کشف شده در جوملا (January 2021)

طبق روال همیشگی بعضی از آسیب‌پذیری‌های کشف شده در انواع سیستم‌های مدیریت محتوا را بررسی می‌کنیم. اگر مقالات ما را دنبال کرده باشید می‌دانید که در مقالات گذشته آسیب‌پذیری‌های وردپرس را به صورت دوره‌ای معرفی و هرکدام را بررسی کرده‌ایم. در این مطلب قصد داریم به معرفی اولین آسیب‌پذیری‌های کشف شده در سال جدید میلادی در سیستم مدیریت محتوای جوملا بپردازیم. تمامی این آسیب‌‎پذیری‌ها در هسته جوملا بوده و در نسخه ۳.۹.۲۴ برطرف شده‌اند. دقت کنید، در صورتی که CMS سایت شما Joomla است، حتماً باید هرچه سریع‌تر آن را به نسخه جدیدتر به‌روزرسانی کنید. اگر می‌خواهید با ماهیت این سیستم‌ها یا اصطلاحاً CMS آشنا شوید، بد نیست مقاله CMS چیست را مطالعه کنید. آسیب‌پذیری XSS در پارامترهای تصویر com_tags به دلیل یک نقص امنیتی مربوط به پارامترهای تصویر در com_tags، امکان اجرای حمله XSS در وب‌سایت وجود خواهد داشت. درجه اهمیت: پایین (Low) نسخه‌های آسیب‌پذیر جوملا: ۳.۱.۰ – ۳.۹.۲۳ راه حل رفع مشکل: آپدیت به نسخه ۳.۹.۲۴ آسیب‌پذیری XSS در mod_breadcrumbs aria-lable این مورد نیز مانند آسیب‌پذیری قبل، به دلیل یک نقص امنیتی مربوط به خصوصیت mod_breadcrumbs aria-lable، امکان اجرای حمله XSS را به هکر می‌دهد. درجه اهمیت: پایین (Low) نسخه‌های آسیب‌پذیر جوملا: ۳.۹.۰ – ۳.۹.۲۳ راه حل رفع […]

آسیب پذیری های کشف شده وردپرس (December 2020)

در آخرین ماه میلادی سال ۲۰۲۰ نیز همانند ماه‌های گذشته، آسب پذیری‌هایی در افزونه‌ها و قالب‌های وردپرس کشف شده است. مهمترین و خطرناک‌ترین آسیب‌پذیری کشف شده، در پلاگین Contact Form 7 است و در رابطه با جزییات آن می‌توانید اینجا را مطالعه کنید. در مقاله امروز، سایرآسیب‌پذیری‌های کشف شده در قالب‌ها و افزونه‌های وردپرس را بررسی می‌کنیم. با ما همراه باشید. آسیب‌پذیری‌های کشف شده در پلاگین‌های وردپرس در این بخش آسیب‌پذیری‌های کشف شده در ۱۷ تا از فزونه‌های وردپرس را مرور می‌کنیم. آسیب‌پذیری CSRF در پلاگین Site Offline این آسیب پذیری به دلیل عدم وجود یک توکن برای بررسی CSRF، این اجازه را به هکر می‌دهد تا با کنترل administrator برخی تغییرات را در بخش تنظیمات این پلاگین اعمال کند. نسخه‌های آسیب‌پذیر در این پلاگین: ۱.۴.۴ و ما قبل آن آسیب‌پذیری Unauthenticated Insecure Deserialisation در پلاگین Newsletter Manger یک مشکل Deserialization ناامن در این پلاگین، منجر به اجرای حمله PHP object injection خواهد شد. نسخه‌های آسیب‌پذیر در این پلاگین: تا این لحظه تمامی نسخه‌ها آسیب پذیرند. آسیب‌پذیری XSS در پلاگین LiteSpeed Cache در این پلاگین IP های نامعتبری که در صفحه Toolbox آن دریافت می‌شود، قبل از نمایش پیغام خطا به درستی فیلتر نمی‌شوند؛ همین امر اجازۀ اجرای حمله Stored XSS […]

کشف آسیب پذیری پلاگین محبوب Contact Form 7

طی هفته‌ای که گذشت، پیدا شدن یک باگ جدید در افزونه وردپرس، باعث نگرانی خیلی از کاربران شد. به گفتۀ Search Engine Journal، به‌تازگی یک آسیب‌پذیری جدید در افرونه Contact Form 7 وردپرس کشف شده که به افراد مهاجم اجازه می‌دهد اسکریپت‌های مخرب را، بر روی وب‌سایت شما بارگذاری کنند. در پی این خبر، ناشران Contact Form 7 بلافاصله آپدیتی برای رفع این آسیب‌پذیری منتشر کرده‌اند. در مقاله امروز، ما نوع این آسیب‌پذیری را بررسی می‌کنیم و راه بستن نفوذ هکرها را به شما می‌گوییم. آسیب‌پذیری آپلود فایل بدون محدودیت این نوع آسیب‌پذیری، به مهاجم اجازه می‌دهد که یک web shell روی افزونه شما نصب کند و کنترل سایت، پایگاه داده و وب‌سرور را به‌دست بگیرد. شاید بپرسید که: [su_box title=”Web Shell چیست؟” style=”soft” box_color=”#ffc13b” title_color=”#000000″ radius=”5″]وب شل، یک رابط مبتنی بر پوسته (در سیستم عامل به معنی ایجادکننده ارتباط بین کلاینت و سیستم عامل) است که دسترسی و کنترل از راه دور سرور را ممکن می‌سازد. به این ترتیب هکرها میتوانند با استفاده از یک Web Shell مخرب به فایل‌های شما دسترسی پیدا کنند. دقت کنید که وب‌شل‌ها می‌توانند به هر زبانی نوشته شود.[/su_box] طبق گفته Contact Form 7: یک آسیب پذیری آپلود فایل نامحدود در Contact Form 7 […]

گزارش کمپین بلک فرایدی ایران سرور و علت اختلال آن

نوشتن مستندات برای تیم فنی یکی از سخت‌ترین کارهاست! فنی‌ها اغلب ترجیح می‌دهند که روی رفع چالش‌های فنی زمان صرف کنند تا نوشتن مستندات؛ ولی خب نوشتن رخدادها باعث می‌شود که امکان انتقال تجربیات به افراد بیشتری فراهم شود! این دقیقاً همان چیزی است که انرژی لازم برای نگارش را فراهم می‌کند. حالا ماجرا از این قرار است که می‌خواهیم دلیل اختلال سایت ایران‌سرور، در کمپین بلک فرایدی را بررسی کنیم و تجربه‌هایی که در این چند روز کسب کردیم را در اختیار شما بگذاریم. اختلال پیاپی طی ۲۴ساعت در وب‌سایت و پورتال کاربری ایران سرور، باعث شد که کاربران برای خرید و دریافت خدمات با مشکل مواجه شوند. اما چه اتفاقی افتاده بود؟ طبق برنامه، چند هفته بعد از انتشار نسخۀ جدید سایت ایران‌سرور و با شروعِ کار بچه‌های تیم توسعه نرم‌افزار روی تغییرات پورتال مشتریان، کمپین BlackFriday (که ما اسم آن را از جمعه سیاه تا دوشنبه آبی گذاشته بودیم) آمادۀ اجرا شده بود. بخشی از کمپین ارایۀ دوره‌ای و غافلگیرکننده از کدهای تخفیف در شبکه‌های اجتماعی بود و هر کس اولین نفر کد را وارد می‌کرد، می‌توانست از آن استفاده کند. یک فلش‌بک به قبل از شروع شدن کمپین بزنیم … پیش‌بینی‌ها برای تعداد کاربری که در […]

آسیب پذیری های کشف شده در جوملا (۲۰۲۰ November)

در این مقاله قصد داریم به معرفی آسیب‌پذیری‌هایی که به تازگی (یعنی هفته آخر نوامبر ۲۰۲۰) در سیستم مدیریت محتوای جوملا برطرف شده است، بپردازیم. (اگر دوست داشته باشید می‌توانید مقاله سیستم مدیریت محتوا چیست را مطالعه کنید.) تمامی این آسیب‎پذیری‌ها در هسته جوملا بوده و در نسخه ۳.۹.۲۳ برطرف شده‌اند. توجه کنید، در صورتی که CMS سایت شما Joomla است، حتماً باید هرچه سریع‌تر آن را به نسخه جدیدتر به‌روزرسانی کنید. آسیب‌پذیری اول از نوع Information Disclosure بوده و مشکل آن در سطح دسترسی در feature مربوط به autosuggestion در com_finder است. نسخه‌های آسیب پذیر: ۲.۵.۰-۳.۹.۲۲ آسیب‌پذیری دوم نیز از نوع Information Disclosure است و باعث افشای پسوردها در صفحه‌ی Global Configuration می‌شود. نسخه‌های آسیب‌پذیر: ۲.۵.۰-۳.۹.۲۲ آسیب‌پذیری سوم Path traversal است و دلیل وجود این آسیب‌پذیری، ضعف در اعتبارسنجی ورودی‌های پارامتر folder در mod_random_image می‌باشد. نسخه‌های آسیب‌پذیر: ۲.۵.۰-۳.۹.۲۲ آسیب‌پذیری چهارم از نوع SQL Injection است که دلیل آن تنظیمات نامناسب در فیلترها بوده و باعث حمله SQLi در com_users می‌شود. نسخه‌های آسیب‌پذیر: ۳.۰.۰-۳.۹.۲۲ آسیب‌پذیری بعدی پنجم به User Enumeration خواهد شد. این آسیب‌پذیری،به دلیل ضعف در مدیریت کاربران، در backend صفحه ورود، منجر به user enumeration خواهد شد. نسخه‌های آسیب‌پذیر: ۳.۹.۰-۳.۹.۲۲ آسیب‌پذیری ششم از نوع CSRF بوده و به دلیل نبودن token […]

بلک فرایدی نزدیک است… چطور بیشتر بفروشیم؟

اگر با مفهوم بلک فرایدی آشنا هم نباشید، احتمالا تا الان چند بار شنیده‌اید که دوستان‌تان دارند برای خرید در یک اخر هفته برنامه‌ریزی می‌کنند یا حتی ممکن است تبلیغاتی هم در سطح شهر به چشم‌تان خورده باشد. اگر خریدار باشید، شاید فکر کنید که اصلاً بلک فرایدی چیست؟ اما اگر فروشنده باشید، پس با این مفهوم آشنا هستید و دنبال راهی برای افزایش فروش‌تان در این فرصت عالی هستید! در این مقاله هم به جواب خریدارها پاسخ می‌دهیم و هم راهکارهایی برای افزایش فروش در بلک فرایدی (جمعه سیاه یا حراج جمعه) ارائه می‌کنیم. راستی چند پیشنهاد فوق‌العاده هم داریم که فقط مخصوص این ایام است؛ پیشنهاد می‌کنم که آن‌ها را از دست ندهید! خب، بلک فرایدی چیست؟ معنی عبارت بلک فرایدی که در انگلیسی به شکل Black Friday نوشته می‌شود، «جمعه سیاه» است. در کشور خودمان هم از عبارت جمعه سیاه و هم از «حراج جمعه» یا حتی «حراجمعه» برای اشاره به این روز استفاده می‌کنیم. در روز بلک فرایدی دقیقا چه اتفاقی می‌افتد؟ خیلی ساده بخواهم بگویم، داستان از این قرار است که در آمریکا (و اکثر کشورهای مسیحی) یک روز مذهبی به اسم «روز شکرگزاری» یا همان Thanksgiving Day وجود دارد که معمولا آخرین پنجشنبه ماه […]

هشدار: مراقب کلاهبرداران اینترنتی باشید!

مقاله امروز درباره روش‌های مختلف کلاهبرداری اینترنتی و راه‌های مقابله با آن است. اگر دوست دارید هوشیارتر از قبل، از فضای مجازی استفاده کنید، این مقاله را بخوانید.

تغییر شناسه ایران سرور در ایرنیک

باتوجه به اینکه شناسه شرکتی ایران سرور در سامانه ثبت دامنه ایرنیک تغییر پیدا کرده، لازم است کاربرانی که دامنه آنها در ایران سرور به ثبت رسیده، برای تمدید دامنه خود ابتدا تنظیمات دامنه را به‌روزرسانی کنند. همانطور که می‌دانید پسوند ir مختص کشور ایران است و هنگام ثبت دامنه ir تمام دامنه‌ها باید تایید سامانه ایرنیک را داشته باشند. خود ایرنیک هم مرکز اصلی ثبت دامنه‌های ir است که زیر نظر سازمان جهانی ICANN کار می‌کند و تمام دامنه‌ها بعد از تایید ایرنیک به ثبت نهایی می‌رسند. آموزش تغییر شناسه دامنه در ایرنیک از اینجا به بعد را قدم به قدم با ما انجام دهید و تغییرات گفته شده را روی دامنه سایت‌تان اعمال کنید. مرحله اول: ورود به ایرنیک برای ثبت تغییرات باید وارد سایت ایرنیک به آدرس « https://www.nic.ir/» شوید. اگر برای ورود مشکل دارید یا هنوز اکانت کاربری خود را ایجاد نکرده‌اید، از مقاله آموزش ثبت دامنه IR (به همراه ساخت شناسه در ایرنیک NIC.IR) کمک بگیرید. مرحله دوم: ورود به پنل کاربری در ایرنیک بعد از ورود به سایت، مانند تصویر روی ورود به سامانه کلیک کنید. با کلیک روی این گزینه پنجره‌ای باز می‌شود که باید نام کاربری و رمز عبور خود را وارد کرده و […]

آسیب پذیری های کشف شده وردپرس (October 2020)

با توجه به انتشار به‌روزرسانی وردپرس در اواخر ماه گذشته میلادی (October) برخی آسیب‌پذیری‌ها نیز در هسته وردپرس شناسایی و برطرف شده است. همچنین تعدادی آسیب‌پذیری در پلاگین‌ها و قالب‌های مختلف این CMS پیدا شده است که در ادامه به معرفی آنها می‌پردازیم. درصورتی که از این پلاگین و تم‌ها استفاده می‌کنید، لازم است در اسرع وقت نسبت به به‌روزرسانی و رفع آسیب‌پذیری آنها اقدام کنید تا از هک شدن وب‌سایت خود تا حد زیادی جلوگیری نمایید. آسیب پذیری‌های کشف شده در هسته وردپرس در این بخش به بررسی راه‌های نفوذ هکرها، از طریق هسته وردپرس می‌پردازیم و یادتان می‌دهیم که چطور جلوی نفوذ را بگیرید. آسیب پذیری CSRF با استفاده از این آسیب پذیری، هکر امکان تغییر تصویر زمینه تم وبسایت را خواهد داشت. آسیب پذیری Arbitrary File Deletion به دلیل وجود این آسیب پذیری هکر امکان حذف فایل‌ها را خواهد داشت. آسیب پذیری XSS این آسیب پذیری از نوع Stored بوده و به دلیل عدم وجود فیلترهای مناسب در post slugs امکان اجرای حمله XSS وجود دارد. آسیب پذیری RCE به دلیل عدم مدیریت مناسب منابع داخلی اپلیکیشن، امکان حمله DoS وجود دارد که در نهایت می‌تواند در شرایط خاصی منجر به RCE شود. آسیب پذیری XMLRPC Privilege […]

رونمایی از نسخه جدید سایت ایران‌سرور!

یکی از برنامه‌هایی که در ابتدای سال برای ایران‌سرور داشتیم، طراحی سایت جدید و برطرف کردن نقاط ضعف فعلی بود. در همین راستا، تیم‌های مارکتینگ، فروش، تحقیق و توسعه و سئو، دور هم جمع شدند و فکرهای‌شان را روی هم گذاشتند. البته، با برگزاری جلسات اولیه، تازه کار شروع شد و هر کدام از تیم‌ها باید بر اساس دیتاهای جمع‌آوری شده، نظرات و پیشنهادات خود را ارائه می‌کردند. خروجی این جلسات، رسیدن به لیستی از نقاط ضعف و ارائه راهکارهایی برای بهبود آن‌ها بود. در نسخه جدید سایت ایران‌سرور به چه نکاتی توجه کردیم؟ تیم ارزیابی ایران‌سرور با استفاده از ابزارهای مختلف (مانند Yandex و GTMetrix) سایت را از ۲ جهت مورد آنالیز و بررسی قرار داد: رفتار کاربران و تعامل‌شان با بخش‌های مختلف کدنویسی و مباحث تکنیکال با بررسی رفتار کاربران، ما متوجه شدیم که تعامل کاربران با سایت در برخی جاها به مشکل می‌خورد یا اینکه نمی‌توانند، به‌راحتی به بخش مورد نظرشان، دسترسی پیدا کنند. مثلاً ویدئوهایی که از یاندکس تهیه کرده بودیم، به ما نشان می‌داد که کاربران برای رسیدن به یک سری بخش‌ها، تاخیر داشتند و خیلی خوب نمی‌توانستند با منو ارتباط برقرار کنند. از نظر تکنیکال هم، فهمیدیم که برخی فرآیندها نیاز به بهینه‌سازی دارند […]

اعلام آسیب پذیری های جدید سرور ویندوزی

شرکت مایکروسافت اخیراً اعلام کرده که یک سری آسیب‌پذیری جدید روی سرورهای ویندوزی کشف شده است. در این مواقع، مهم‌ترین کاری که شما برای امنیت سایبری خود می‌توانید انجام دهید، به‌روزرسانی نرم‌افزار است! در مقالۀ امروز ایران‌سرور، آسیب‌پذیری‌های جدید سرورهای ویندوزی را بررسی کرده و برای جلوگیری از بروز مشکلات احتمالی و دور ماندن از خطرات سایبری، راه‌حل‌هایی را ارائه می‌کنیم. همراه ما باشید. آسیب‌پذیری Zerologon Windows این آسیب‌پذیری توسط شرکت Secura بر روی Domain Controller سرورهای ویندوزی شناسایی شده است و دارای امتیاز CVSS 10 (بالاترین امتیاز ممکن) است. استفاده از این آسیب‌پذیری از راه دور ممکن بوده و نیاز به هیچ‌گونه احراز هویت ندارد. در ضمن این آسیب‌پذیری، بر روی تمامی نسخه‌های ویندوز سرور از نسخه ۲۰۰۸ R2 تا ۲۰۱۹ شناسایی شده است. مهاجم با استفاده از این باگ می‌تواند به سطح دسترسی Domain Admin دست پیدا کند. این آسیب‌پذیری بر اثر ضعف در کانال امن ارتباطی Netlogon و Domain Controller به وجود آمده است. از طریق این آلودگی، هکر می‌تواند بر روی سرور شما ransomware تزریق کرده و تمامی داده‌های شما را رمزگذاری (encrypt) کند. به این صورت سرور شما از دسترس خارج می‌شود. تنها راه حل بازگشت، نصب مجدد است که آن هم در صورت عدم […]

یک خبر خوب: نسخۀ جدید سایت‌ساز ایران‌سرور رسید!

سایت‌ساز ایران‌سرور، یکی از بچه‌های کوچک این خانوادۀ بزرگ است. این ابزار بهینه و به‌صرفه، به شما کمک می‌کند که بدون داشتن دانش فنی و مهارت برنامه‌نویسی، در کوتاه‌ترین زمان ممکن، سایت یا فروشگاه اینترنتی دلخواه خود را ایجاد کنید! پیشنهاد می‌کنم اگر چنین فکرهایی در سرتان دارید و به‌دنبال راه‌اندازی کسب‌وکار اینترنتی خودتان هستید، سری به سایت‌ساز ایران‌سرور بزنید. و اما خبر خوب، برای همراهان قدیمی سایت‌ساز ایران‌سرور! در نسخۀ جدید سایت‌ساز ایران‌سرور، تمام تلاش ما بر این اساس بوده که فرآیند ساختن سایت یا راه‌اندازی فروشگاه اینترنتی را تا حد امکان برای شما ساده و لذت‌بخش کنیم! در ادامه، به برخی تغییرات ایجاد شده در این نسخه، اشاره می‌کنیم. دسترسی سریع به راهنمای هر بخش با پنل کشویی که در داشبورد مدیریت سایت تعبیه شده، سریع‌تر از قبل راهنمای موردنظرتان را پیدا کرده و به جواب سوالات‌تان می‌رسید. به‌روزرسانی راهنماها همۀ راهنماها به‌روزرسانی شده‌اند و در قالب‌های ویدئو، تصویر و متن در اختیار شما قرار می‌گیرند. بهبود رابط کاربری ما در این مدت به کمک ابزارها و تست‌های مختلف، رفتار کاربران را در صفحه بررسی کرده و با توجه به نتایج به‌دست‌آمده، تغییراتی را برای بهبود رابط کاربری اعمال کردیم. اختصاصی کردن صفحه‌ساز المنتور با تغییر یا ایجاد […]

آسیب پذیری های کشف شده وردپرس (September 2020)

در ماه گذشته میلادی (September) نسبت به ماه‌های قبل آسیب‌پذیری‌های کمتری بر روی افرونه‌ها و قالب‌های وردپرس کشف شده و این موضوع خبر خوبی برای مدیران سایت‌های وردپرسی می‌تواند باشد. به‌علاوه این‌که روی هسته وردپرس هم آسیب‌پذیری خاصی کشف و گزارش نشده است. دقت کنید که درجه اهمیت آسیب‌پذیری‌های کشف شده ماه گذشته بالا بوده و بعضا پلاگین‌هایی هستن که در سایت‌های وردپرسی زیادی مورد استفاده قرار گرفته‌اند. پس اگر هنوز آسیب‌پذیری‌های ماه گذشته را چک نکرده‌اید حتما سری به آن بزنید. آسیب‌پذیری‌های کشف شده در پلاگین‌های وردپرس در این بخش به بررسی راه‌های نفوذ هکرها، از طریق افزونه‌هایی که روی وردپرس نصب کرده‌اید می‌پردازیم. آسیب‌پذیری SQL Injection در پلاگین Slider by 10Web ویژگی‌های bulk_action ، export_full و save_slider_db در این پلاگین آسیب‌پذیر هستند و کاربران با سطح دسترسی بالا یا کاربران عادی مانند Contributor امکان اجرای حمله SQL Injection را خواهند داشت. نسخه‌های آسیب‌پذیر در این پلاگین: ۱.۲.۳۶ و ما قبل آن آسیب‌پذیری Broken Access Controls در پلاگین WP Courses با استفاده از REST API endpoints (/wp-jon/) این امکان وجود دارد که کاربران بتوانند بدون پرداخت هزینه به دوره‌های آموزشی دسترسی داشته باشند. نسخه‌های آسیب‌پذیر در این پلاگین: ۲.۰.۲۹ و ما قبل آن آسیب‌پذیری Broken Access Controls در پلاگین […]

خبر: ویژگی‌های امنیتی نسخه جدید (۱.۶۱.۵) دایرکت ادمین

اگر کاربر دایرکت ادمین هستید و از این کنترل پنل برای مدیریت هاست خود استفاده می‌کنید، در جریان باشید که نسخه ۱.۶۱.۵ دایرکت ادمین مشکلات بخش امنیتی خودش را بهبود داده است. مثلا برای جلوگیری از حملات Brute Force یک راهکار جدید ارائه داده که احتمال حملات را به شدت کاهش می‌دهد. البته این یکی از ویژگی‌های جدید نسخه ۱.۶۱.۵ دایرکت ادمین است. در ادامه به بررسی این ویژگی‌ها می‌پردازیم تا ببینیم چه تفاوتی نسبت به گذشته داشته است. شما هم همراه ما باشید تا ببینیم این ویژگی‌های جدید چطور به کمکمان آمده‌اند. بررسی ویژگی‌های نسخه ۱.۶۱.۵ دایرکت ادمین در این مقاله به بررسی ۳ ویژگی مهم نسخه ۱.۶۱.۵ دایرکت ادمین اشاره می کنیم. حملات Brute Force، فایروال Mod Security و تنظیمات PHP.ini سه ویژگی هستند که در نسخه های قبل هم وجود داشته و الان بهبود پیدا کرده اند. شما هم اگر آماده اید، بریم شروع کنیم. نحوه جلوگیری از حملات Brute Force (Brute Force Monitor: modsec_audit.log Mod_Security (BFM ویژگی Brute Force Monitor که به اختصار BFM گفته می‌شود، برای مانیتور کردن حملات brute force مورد استفاده قرار می‌گیرد. یادآوری: حملات Brute Force چیست؟ Brute force یک روش حمله برای هکرها است که از این راه به دنبال شکستن […]