یک هشدار امنیتی به وب سایت هایی بر بستر دات نت نیوک

یک هشدار امنیتی به وب سایت هایی بر بستر دات نت نیوک

در ماه آوریل سال 2016 یک هشدار امنیتی روی پلتفرم DNN گزارش شده است. این هشدار مربوط به سرویس نصب دات نت نیوک در فایل InstallWizard.aspx می باشد. در این مقاله دستورالعملی به منظور محافظت از سایت شما را ارائه خواهیم داد. همچنین برای این مشکل امنیتی یک پچ توسط تیم دات نت نیوک ارائه شده است. 

این آسیب پذیری گزارش شده از نوع شدید بوده و کاربر خارجی را قادر می سازد عملیات زیر را انجام دهد
 •  ایجاد یک حساب کاربری ارشد
 •  بروزرسانی رکوردهای جداول میزبان در بانک اطلاعاتی
 •  پاک نمودن تنظیمات SMTP
 •  نصب یا بروزرسانی ماژولهای نصب شده

به منظور حفاظت از این آسیب پذیری مراحل زیر را در سایت خود انجام دهید
فایلهای Install.aspx, Install.aspx.cs,InstallWizard.aspx, InstallWizard.aspx.cs, UpgradeWizard.aspx and UpgradeWizard.aspx.cs را از مسیر Root/Install folder فورا حذف نمایید.
به  مسیر میزبان > تنظیمات میزبان > تنظیمات دیگر رفته و در بخش فایلهای مجاز، اطمینان حاصل کنید که اجازه افزودن فرمت aspx داده نشده است.
به مسیر میزبان > حساب های کاربر ارشد بروید و فهرست کاربران ارشد را بررسی کنید. در صورتیکه کاربر ناشناسی در این بخش مشاهده نمودید آن را فورا حذف نمایید. همچنین جهت اطمینان بیشتر رمز عبور کلیه کاربران در این بخش را تغییر دهید.
در پوشه ریشه و کلیه زیر پوشه ها فایلهای با پسوند .aspx و .php را جستجو نمایید و هر گونه فایل ناشناس و مشکوک را حذف نمایید. توجه داشته باشید که برخی از فایلها مربوط به دات نت نیوک می باشند و فایلهای مورد نیاز را اشتباها حذف نکنید.
تیم توسعه دات نت نیوک این مشکل امنیتی را در نسخه 8.0.3 رفع نموده است و به منظور اطمینان شما می توانید سایت دات نت نیوک خود را به این نسخه ارتقاء دهید.

 

در انتها چند نکته امنیتی دیگر را به شما یادآوری میکنیم که حتما این موارد را برای سایت دات نت نیوک خود مدنظر داشته باشید تا بتوانید وب سایتی ایمن تر برای مشتریان خود فراهم سازید.

دسترسی های پوشه های دات نت نیوک را به دقت بررسی کنید. توجه داشته باشید که برای کارکرد صحیح دات نت نیوک دسترسی Full به کاربر IIS صرفا می بایست به پوشه های Portals و App_Code داده شود و پوشه ریشه و سایر زیر پوشه ها می بایست صرفا دسترسی Read داشته باشند. 
در برخی موارد نیز جهت نصب ماژول جدید نیاز دارید که دسترسی کامل به پوشه ریشه را برقرار کنید. فراموش نکنید که پس از نصب ماژول حتما دسترسی پوشه ها را به حالت اولیه خود بازگردانید.
در تنظیمات IIS پوشه Portals را انتخاب نمایید و سپس گزینه Handler Mappings را کلیک نمایید. سپس در پنل سمت راست Actions گزینه Edit Feature Permissions را کلیک کنید. در صفحه باز شده انتخاب گزینه Script را برداشته و رو OK کلیک نمایید. با انتخاب این عملیات، هیچ فایل اجرایی روی پوشه Portals قابل استفاده نخواهد بود.

نکات فوق برخی از مسائلی بود که رعایت آنها می تواند به امنیت وب سایت شما کمک کند اما فراموش نکنید که حتی با رعایت این موارد ریسک نفوذ به وب سایت ها با هر پلتفرمی و هر نرم افزاری وجود خواهد داشت. لذا بهره گیری از مشاوران حوزه امنیت و انجام تست های نفوذ دوره ای برای وب سایت های مهم و دولتی امری لازم و اجتناب ناپذیر خواهد بود.

برچسب ها : : امنیت
تعداد امتیازات :

ارسال نظر جدید

نام

ایمیل

نظرات ارسال شده

هم اکنون هيچ نظري ارسال نشده است. شما مي توانيد اولين نظردهنده باشد.

DnnForge - NewsSearch

گروه ها

آرشیو آموزش

نظرات کاربران

بالا