1- سايت وبنوشت: بانک اطلاعاتي اين سيستم خارج از wwwroot ميباشد، ولي چون کپي آن در همان زيرشاخه yourweblog/blogadmin/db/database.mdb وجود داشته و همچنين فايل setup.asp آن بعد از نصب پاک نشده بود، شخص نفوذگر سيستم را با همين ديتابيس دوباره از نو نصب کرده و اقدام به تغيير قالب آن کرده است. توضيح اينکه فايل setup.asp براي نصب اوليه اسپ سوار ميباشد و حتي براي امنيت بالا با يک بانک اطلاعاتي دوبار کار نميکند! اما همانطور که ديده ميشود، در اين سايت ما دو بانک اطلاعاتي داشته ايم! يک بانکي که خود سيستم با آن کار ميکرد و خارج از root هم بود. بانک ديگر کپي بانک اوليه که از روي اشتباه کسي که آنرا نصب ميکرد در آدرس اوليه باقي مانده بود.
2- سايت www.vbehzadian.com: نصاب اسپ سوار در اين سايت نه تنها جاي ديتابيس رو عوض نکرده بود، بلکه اسم آنرا هم تغيير نداده بود. وبه راحتي فايل ديتابيس از آدرس http://www.vbehzadian.com/blog/blogadmin/db/database.mdb قابل دانلود بود.
3- در يک مورد ديگر هم اسم فايل ديتابيس عوض شده بود، ولي در همان زيرشاخه قرار داشت. تا اينجاي مسئله مشکلي وجود ندارد.زيرا حدس زدن نام ديتابيس براي يک نفوذگر همانند حدس زدن يک پسورد کار دشوار و زمانگيري است! مشکل اين سايت اين بود که دايرکتوري ديتابيس، Directory Listing آن فعال بود. يعني با رفتن به آدرس شاخه بانک اطلاعاتي، ليست فايلهاي موجود در آن قابل مشاهده بوده و با کليک بر روي آن، فايل بر روي کامپيوتر نفوذگر دانلود ميشد!

همانطور که ملاحظه ميکنيد، تمامي اين مشکلات از عدم اطلاع نصاب بوده است و نه هيچ چيز ديگر. تمامي اين موارد مانند اين است که براي سايتي کلمه عبوري تعريف کنيم و بعد کلمه عبور را در زير صفحه ورودي سايت بنويسيم تا هر کسي بتواند با آن وارد سيستم شود. اين که کسي کلمه عبور را ميداند و وارد سيستم ميشود، دليل بر ضعف برنامه ورودي نبوده و نيست! بلکه دليل بر ضعف آن کسي است که کلمه عبور را در سايت نوشته است.

ضمنا از تمامي دوستاني که مي خواهند اسپ سوار را نصب کنند و از آن استفاده کنند، تقاضا دارم حتما موارد زير را مورد توجه خود قرار دهند:
1- فايل ديتابيس اسپ سوار در فايل زيپ در همين شاخه پيشفرض blogadmin/db/database.mdb ميباشد. لطفا پس از باز کرد فايل زيپ اين فايل را به خارج از root سيستم انتقال دهيد. در اکثر موارد و در هاست هاي مطمئن يک پوشه به نام db  و يا database در کنار www يا wwwroot در ftp وجود دارد که توصيه ميکنيم اين فايل را در همين فولدر کپي کنيد. اگر هم اين فولدر را پيدا نکرديد کافي است نام پوشه و آدرس بانک اطلاعاتي را عوض کنيد و بعد آنرا آپلود کنيد. (لازم به ذکر است که پوشه بانک اطلاعاتي شما به هر اسمي که باشد، بايد دسترسي خواندن و نوشتن توسط webuser داشته باشد.)
2- حتما دقت کنيد که فايل بانک اطلاعاتي خود را از آدرس قبلي پاک کنيد! در اين صورت هيچ نيازي به پاک کردن فايل setup.asp نيست. زيرا همانطور که گفتم اين فايل خود تنها يک بار قابل استفاده است و بعد ار نصب توسط يک بانک اطلاعاتي  ديگر قابل استفاده نيست. اما براي اطمينان بيشتر ميتوانيد اين فايل را پاک کنيد.
3- سيستم اسپ سوار براي نصب بر روي يک دامين طراحي شده است! اگر بر روي يک دامين چند اسپ سوار نصب کنيد، هر کسي با ورود به يکي ار کنترل پنل هاي اسپ سوار به باقي کنترل پنل ها دسترسي خواهد داشت. پس سعي کنيد بر روي هر دامين از يک اسپ سوار بيشتر استفاده نکنيد. ضمنا بهتر است بر روي هاست هاي رايگان هم نصب نشود.

اگر افرادي اسپ سوار را به اشتباه نصب کرده اند و آدرس بانک اطلاعاتي آنها به همان نام و در همان فولدر است، ميتوانند نام بانک را عوض کرده، سپس در فايل config.asp که در فولدر includes در همان شاخه blogadmin وجود دارد اين تغيير را به صورت دستي وارد کنند.

جهت اطلاعات بيشتر نيز ميتوانيد با آدرس ايميل info@asp-rider.com تماس بگيريد.

با تشکر
نوید خادم ( طراح و برنامه نویس اسپ سوار)
http://www.asp-rider.com

لینک مطلب در ITIran