سیستم انگیزشی منابع انسانی

پیشنهاد بهبود دهنده(× 5 امتیاز)
اگر پیشنهادی دارید ما استقبال می کنیم.
- ۱. مطالب باید در حوزه خدمات تخصصی کسب و کار گرین وب و موارد مرتبط باشد. لذا هرگونه محتوا در غیر از این زمینه تایید نخواهد شد.
- ۲. نحوه امتیازدهی به مطالب اشتراک دانش به صورت زیر است :
  - مطالب کمتر از 450 کلمه : نیمی از امتیاز
  - مطالب بیش از 450 کلمه : امتیاز کامل
- ۳. محتوای کپی شده فاقد ارزش امتیازدهی می باشد اما در صورتیکه با مطلب مفید و کاربردی در وبسایتها و شبکه های اجتماعی برخورد کردید می توانید با ذکر منبع در ابتدای مطلب، آنرا به اشتراک بگذارید. اما به مطلب کپی شده امتیازی تعلق نمی گیرد.
- ۴. هر کاربر اجازه دارد در هفته حداکثر 5 مطلب قرار دهد تا حق سایر اعضا نیز در امتیاز گیری محفوظ بماند.
- ۵. کلیه مطالب ارسال شده توسط پرسنل در یک بازه زمانی خاص و بصورت دوره ای بررسی می شوند. از یادآوری مکرر در رابطه با بررسی مطالب، خودداری نمائید.
- ۶. جوایز پشت درب ها به صورت تصادفی به کلید ها تعلق می گیرد و از این بابت کاربر حق هیچگونه اعتراضی را نخواهد داشت.
- ۷. تحویل جوایز در انتهای هر ماه توسط منابع انسانی انجام می شود.
- ۸. برخی مطالب "نیازمند اصلاحات" است. در این صورت، باید اصلاحات انجام شده و دوباره ذخیره گردد.
- ۹. برای هر محتوایی در سایت یک دسته بندی و موضوع در نظر گرفته شده است که باید در زمان درج مطلب، به آن دقت شود.
اینجانب کلیه موارد فوق را می پذیرم
اشتراک دانش(× 20 امتیاز)
دانش خود را با همکاران خود به اشتراک بگذارید.
- ۱. مطالب باید در حوزه خدمات تخصصی کسب و کار گرین وب و موارد مرتبط باشد. لذا هرگونه محتوا در غیر از این زمینه تایید نخواهد شد.
- ۲. نحوه امتیازدهی به مطالب اشتراک دانش به صورت زیر است :
  - مطالب کمتر از 450 کلمه : نیمی از امتیاز
  - مطالب بیش از 450 کلمه : امتیاز کامل
- ۳. محتوای کپی شده فاقد ارزش امتیازدهی می باشد اما در صورتیکه با مطلب مفید و کاربردی در وبسایتها و شبکه های اجتماعی برخورد کردید می توانید با ذکر منبع در ابتدای مطلب، آنرا به اشتراک بگذارید. اما به مطلب کپی شده امتیازی تعلق نمی گیرد.
- ۴. هر کاربر اجازه دارد در هفته حداکثر 5 مطلب قرار دهد تا حق سایر اعضا نیز در امتیاز گیری محفوظ بماند.
- ۵. کلیه مطالب ارسال شده توسط پرسنل در یک بازه زمانی خاص و بصورت دوره ای بررسی می شوند. از یادآوری مکرر در رابطه با بررسی مطالب، خودداری نمائید.
- ۶. جوایز پشت درب ها به صورت تصادفی به کلید ها تعلق می گیرد و از این بابت کاربر حق هیچگونه اعتراضی را نخواهد داشت.
- ۷. تحویل جوایز در انتهای هر ماه توسط منابع انسانی انجام می شود.
- ۸. برخی مطالب "نیازمند اصلاحات" است. در این صورت، باید اصلاحات انجام شده و دوباره ذخیره گردد.
- ۹. برای هر محتوایی در سایت یک دسته بندی و موضوع در نظر گرفته شده است که باید در زمان درج مطلب، به آن دقت شود.
اینجانب کلیه موارد فوق را می پذیرم
ارسال گزارشمحرمانه(× 10 امتیاز)
گزارش نقص، ایراد، روندها و فعالیت های اشتباه و ...
ارائه ایده(× 10 امتیاز)
ایده های خلاقانه خود را به اشتراک بگذارید .
- ۱. مطالب باید در حوزه خدمات تخصصی کسب و کار گرین وب و موارد مرتبط باشد. لذا هرگونه محتوا در غیر از این زمینه تایید نخواهد شد.
- ۲. نحوه امتیازدهی به مطالب اشتراک دانش به صورت زیر است :
  - مطالب کمتر از 450 کلمه : نیمی از امتیاز
  - مطالب بیش از 450 کلمه : امتیاز کامل
- ۳. محتوای کپی شده فاقد ارزش امتیازدهی می باشد اما در صورتیکه با مطلب مفید و کاربردی در وبسایتها و شبکه های اجتماعی برخورد کردید می توانید با ذکر منبع در ابتدای مطلب، آنرا به اشتراک بگذارید. اما به مطلب کپی شده امتیازی تعلق نمی گیرد.
- ۴. هر کاربر اجازه دارد در هفته حداکثر 5 مطلب قرار دهد تا حق سایر اعضا نیز در امتیاز گیری محفوظ بماند.
- ۵. کلیه مطالب ارسال شده توسط پرسنل در یک بازه زمانی خاص و بصورت دوره ای بررسی می شوند. از یادآوری مکرر در رابطه با بررسی مطالب، خودداری نمائید.
- ۶. جوایز پشت درب ها به صورت تصادفی به کلید ها تعلق می گیرد و از این بابت کاربر حق هیچگونه اعتراضی را نخواهد داشت.
- ۷. تحویل جوایز در انتهای هر ماه توسط منابع انسانی انجام می شود.
- ۸. برخی مطالب "نیازمند اصلاحات" است. در این صورت، باید اصلاحات انجام شده و دوباره ذخیره گردد.
- ۹. برای هر محتوایی در سایت یک دسته بندی و موضوع در نظر گرفته شده است که باید در زمان درج مطلب، به آن دقت شود.
اینجانب کلیه موارد فوق را می پذیرم

اشتراک دانش بهنام بهادری » حملات CSRF (XSRF) (۱۳۹۵/۶/۱۰)

تایید شده

حملات CSRF یا XSRF، در این حمله کاربر در صفحه مدیریت سایت خود لاگین است یا مهاجم از طریق یک لینک کاربر را مجبور به وردو به مدیریت سایت میکند بدون آنکه کاربر متوجه این موضوع باشد و درنهایت به صفحه مورد نظر دسترسی خواهد یافت. این حمله از طریق کشف آدرس هایی که محتوایی را تایید و ارسال میکنند اتفاق می افتد (مانند صفحات لاگین). کدهای اجرایی میتواند از قالب یک URL source در یک تصویر ذخیره شود بصورتی که کاربر از رخداد و اجرای URL آگاهی پیدا نکند. عموما تزریق از طریق image tag در HTML يا JavaScript انجام مي شود در صورتی که در سایت بصورت غیر امن (http) متصل باشیم و یا کوکی ها روی مرورگر ذخیره شده باشند این حمله با احتمال موفقیت بالاتری اجرا خواهد شد.

سرویس PayPal یک مرتبه با آسبی پذیری CSRF روبرو شده است. نمونه دیگر این مشکل در Google رخ داد، در حالی که مهاجم میتوانست اطلاعات اکانت Google کاربر را کشف کند و به اکانت قربانی دسترسی یابد.

عموما صفحات ثبت نام عمومی که با ارسال و دریافت اطلاعات طراحی شده اند بیشتر هدف این حمله قرار میگیرند و از متدهایی مانند GET یا POST میتواند استفاده کند.

راهکار رایج برای مقابله این مشکل ایجاد یک رشته کد (توکن) بصورت تصادفی که هم برای کوکی استفاده میشود و هم در آدرس ایجاد شده بصورت پنهان وجود خواهد خواهد داشت. در هنگام ارسال فرم بررسی می شود آیا CSRFToken در فرم همان CSRFToken ذخیره شده در کوکی است یا خیر و در صورت یکسان بودن اجازه اجرا و ارسال اطلاعات و یا لاگین را خواهد داد.

راهکارها:

همانطور که اشاره شد جلوگیری از CSRF معمولا نیاز به گنجاندن رمز غیر قابل پیش بینی در هر درخواست HTTP دارد. این کد باید حداقل و برای هر session کاربر بصورت مجزا باشد.

1 - قرار گرفتن یک Token منحصر به فرد بصورت پنهان در بدنه در خواست HTTP ارسال میشود.

2- استفاده از reauthenticate درخواست با استفاده از ابزاری مانند کد CAPTCHA

3- استفاده از OWASP’s CSRF Guard

OWASP سازمان بین المللی جهت استاندارد کردن ایمن سازی در طراحی و پیاده سازی می باشد. (Open Web Application Security Project)

یک نمونه کد PHP مشکل دار بصورت زیر است:

<?php

    if (isset($_POST["user"], $_POST["pass"])){

        // code for checking the user and password

    } else {

        echo '

            <form method="post">

                <input name="user">

                <input name="pass" type="password">

                <input type="submit">

            </form>

        ';

    }

?>

این کد اجرای عملیات از سمت فرستنده را بررسی نمیکند که دستور اجرایی از چه طریقی اجرا میشود. آیا یک کاربر واقعی است یا خیر.

کدی که میتواند کاربر بازدید کننده را با توجه به کد بالا فریب دهد:

<form id="LoginForm" action="http://target/login.php" method="post">

    <input name="user" value="foo">

    <input name="pass" type="password" value="bar">

    <input type="submit">

</form>



<script>

    document.getElementById("LoginForm").submit();

</script>

مرورگر یک درخواست POST با اعتبار ورود به صفحه PHP که چک می کند اگر آنها درست باشند و سپس کاربران به سیستم لاگین میشوند.

نظرات

بصیر پچاز ۲۱ / ۶ / ۱۳۹۵

با توجه به این که این روزها اکثر سایت گزینه مرا به خاطر بسپار رو در هنگام لاگین کاربر فعال کرده اند، اطلاعات شخص قربانی رو از طریق کوکی ها استخراج می کن و بدون نیاز به مراجعه به صفحه لاگین، از طریق ارسال درخواست پست به آدرس صفحه لاگین، به عنوان کاربر معتبر session رو معتبر می کنن و اطلاعات قربانی رو سرقت می کنند. رمزنگاری اطلاعات ذخیره شده رو فراموش نکنین

پاسخ به این نظر

آخرین ارسالهای غیرمحرمانه

مشاهده آرشیو ارسال ها »

محتوای آخرین دربهای گشوده شده

آخرین نظرات