قبلیقبلیGo to previous topic
بعدیبعدی Go to next topic

اطلاع رسانی بسیار مهم به کلیه سایت های استفاده کننده از نرم افزار دات نت نیوک

شما مجاز به پاسخ به پست نمی باشید.
  • نمايش چاپ
  • پست الکترونيک


عضو فعال


Posts:202
عضو فعال

عضويت:15 خرداد 1395 12:03 ق.ظ

--

اطلاع رسانی بسیار مهم به کلیه سایت های استفاده کننده از نرم افزار دات نت نیوک

15 خرداد 1395 12:03 ق.ظ

پیرو اعلان باگ امنیتی اخیر در نرم افزار دات نت نیوک، برخی از سایت هایی که از این نرم افزار استفاده می کنند اخیرا دچار حملاتی از طرف برخی هکرها شده اند. لذا اکیدا به همه کاربران و مدیران محترم سایت ها اعلام می گردد هر چه سریعتر نسبت به انجام موارد زیر در پرتال های خود اقدام نمایند. همچنین به اطلاع می رسد که مسئولیت هرگونه قصور در این زمینه مستقیماً متوجه مسئولین سایت ها خواهد بود.

  • فایلهای Install.aspx, Install.aspx.cs,InstallWizard.aspx, InstallWizard.aspx.cs, UpgradeWizard.aspx and UpgradeWizard.aspx.cs را از مسیر Root/Install folder فورا حذف نمایید.
  • به  مسیر میزبان > تنظیمات میزبان > تنظیمات دیگر رفته و در بخش فایلهای مجاز، اطمینان حاصل کنید که اجازه افزودن فرمت aspx داده نشده است.
  • به مسیر میزبان > حساب های کاربر ارشد بروید و فهرست کاربران ارشد را بررسی کنید. در صورتیکه کاربر ناشناسی در این بخش مشاهده نمودید آن را فورا حذف نمایید. همچنین جهت اطمینان بیشتر رمز عبور کلیه کاربران در این بخش را تغییر دهید.
  • در پوشه ریشه و کلیه زیر پوشه ها فایلهای با پسوند .aspx و .php را جستجو نمایید و هر گونه فایل ناشناس و مشکوک را حذف نمایید. توجه داشته باشید که برخی از فایلها مربوط به دات نت نیوک می باشند و فایلهای مورد نیاز را اشتباها حذف نکنید.
  • در بخش میزبان -> تنظیمات میزبان -> تب سایر تنظیمات -> فایل‌های مجاز مطمئن شوید که فایل aspx در لیست فایل‌ها قرار نداشته باشد
  • تیم توسعه دات نت نیوک این مشکل امنیتی را در نسخه 8.0.3 رفع نموده است و به منظور اطمینان شما می توانید سایت دات نت نیوک خود را به این نسخه ارتقاء دهید.


در انتها چند نکته امنیتی دیگر را به شما یادآوری میکنیم که حتما این موارد را برای سایت دات نت نیوک خود مدنظر داشته باشید تا بتوانید وب سایتی ایمن تر برای مشتریان خود فراهم سازید.

  • دسترسی های پوشه های دات نت نیوک را به دقت بررسی کنید. توجه داشته باشید که برای کارکرد صحیح دات نت نیوک دسترسی Full به کاربر IIS صرفا می بایست به پوشه های Porals و App_Code داده شود و پوشه ریشه و سایر زیر پوشه ها می بایست صرفا دسترسی Read داشته باشند. 
    در برخی موارد نیز جهت نصب ماژول جدید نیاز دارید که دسترسی کامل به پوشه ریشه را برقرار کنید. فراموش نکنید که پس از نصب ماژول حتما دسترسی پوشه ها را به حالت اولیه خود بازگردانید.
  • در تنظیمات IIS پوشه Portals را انتخاب نمایید و سپس گزینه Handler Mappings را کلیک نمایید. سپس در پنل سمت راست Actions گزینه Edit Feature Permissions را کلیک کنید. در صفحه باز شده انتخاب گزینه Script را برداشته و رو OK کلیک نمایید. با انتخاب این عملیات، هیچ فایل اجرایی روی پوشه Portals قابل استفاده نخواهد بود.

    شما مجاز به پاسخ به پست نمی باشید.
    • نمايش چاپ
    • پست الکترونيک
    بالا