اسپ سوار ASP-Rider

The Last Patch

برای دریافت آخرین پچ آدرس وبلاگتون رو برام ایمیل کنید.

در مورد پچ هم بگم که این مشکل رو حدود ۴ ماه پیش به کمک علیرضا یکی از دوستهای برنامه نویسم پیدا کردیم و چون امکان داشت از روی پچ مشکل رو همه بفهمند و یک سری افراد کم سن و سال از اون سو استفاده کنن برای همین جایی نگفتیم. در عوض سایتهایی رو که میشناختیم به صورت دستی پچ کردیم، ولی برخی به دلایلی که شاید یکیش رعایت نکردن کپی رایت اسپ سوار بود موندن که اینجوری شد.

ضمنا اسپ سوار ۱۰ دی امسال ۲ سالش میشه! بعد از ۲ سال، پچ امنیتی!

مشکل در تاريخ

همون طور که احتمالا همه اسپ سوار ها متوجه شدن یک مشکل خاصی در تاریخ اسپ سوار به وجود اومد. هر بار که برای انجام کاری از اسکریپت دیگران بدون بررسی استفاده کردم به مشکل برخوردم و ۱۰۰ بار هم با خودم گفتم که دیگه این کار رو نمیکنم! ولی باز هم این کار رو کردم...

خدمت شما عرض کنم که اسپ سوار از اسکریپت تاریخ شمسی که در سایت IranASP.net وجود داره استفاده میکنه! و چون این تابع مشکل داشت اسپ سوار هم به هم ریخت! مشکلش هم سال کبیسه بود. خلاصه اینکه باز خودم کمر همت بستم و این تابع رو هم خودم نوشتم. برای سایتهای دیگرتون هم اگر برنامه نویس هستین میتونین از این تابع استفاده کنین. اسپ سوار مثل همیشه کارهاش رو به شرط چاقو تحویل میده.

برای اسپ سوارها: لازمه که فایل func.zip رو بگیرین و بعد از باز کردن فایل زیپ و استخراج func.asp اون رو در شاخه مربوطه به خودش یعنی: http://www.yourblog.com/blogadmin/includes/func.asp بر روی فایل قبلی بریزین. مشکل شما حل میشه.

دریافت func.zip

مصاحبه

مصاحبه با اسپ سوار

شکایت!

نمی دونم جریان چیه! ولی برام جالبه که هیچ کدوم از این سایت های خبری نیومدن از من بپرسن که جریان چیه! جالبه که اینجا حرف دزد رو قبول میکنن!!! نمیگن که این آقای دزد که میگه اینجوریه!!! نظر تو چیه!!!! جالبه نه؟

ما کجای دنیا داریم زندگی میکنیم؟ همه به فکر خودشونن! اینکه یه جوری هیت ساتشون بره بالا! یا اینکه چجوری فروش کنن!کی میخوایم یاد بگیریم که اینجوری قضاوت نکنیم؟ یک طرفه به قاضی نریم؟!!! یه خبر نگار باید واقعیت رو بگه نه هرچی که براش هیت میاره!

هــــــــــــــــک!!!

آقا اینقدر نگین هک شد هک شد! اگر یه روز اومدین اینجا دیدین که این وبلاگ هک شده، بعدا بگین که اسپ سوار مشکل داره! اینقدر هم تقصیر رو گردن این و اون نندازین!

آقایون هکر ها!!! لطفا تشریف بیارین اینجا ببینم چند مرده حلاجین!

توضیحات کامل

یه مطلب برای ITiran نوشتم و منتشر شد ... اون مطلب رو اینجا هم میزارم که بخونین.

سيستم اسپ سوار، اولين سيستم مديريت محتوي 100% فارسي، با استفاده از بانک اطلاعاتي اکسس و ASP برنامه نويسي شده است.
فايل بانک اطلاعاتي اسپ سوار اگر خارج از زير شاخه اصلي و يا همان root نباشد با استفاده از URL مستقيم قابل دانلود ميباشد متن کامل... چون کليه اطلاعات اسپ سوار از جمله کد کاربري و کلمه عبور در اين بانک مي باشد پس از دانلود اين بانک توسط نفوذگر، سيستم با استفاده از کلمه عبور و کد کاربري شخص قابل نفوذ مي باشد. همانطور که ملاحظه مي کنيد اين مشکل نه از مايکروسافت است و نه از اسپ سوار، بلکه مشکل تنها از افراد ناواردي است که با توجه به اخطارهاي بنده نسبت به تغيير نام و آدرس ديتابيس، هنوز هم زماني که اسپ سوار را نصب ميکنند، نه تنها فايل بانک اطلاعاتي اين سيستم را خارج از root نميريزند بلکه حتي نام آنرا هم عوض نمي کنند.
عده اي از افراد هم که سريعا بر عليه اين سيستم بلند مي شوند اين مسايل را در بوق و کرنا کرده و همه جا اين مشکلات را به مايکروسافت و اسپ سوار نسبت مي دهند!

ذيلا عده اي از مشکلاتي را که اين چند روزه از نصب نا صحيح اين سيستم به وجود آمده است ذکر مي کنم:

1- سايت وبنوشت: بانک اطلاعاتي اين سيستم خارج از wwwroot ميباشد، ولي چون کپي آن در همان زيرشاخه yourweblog/blogadmin/db/database.mdb وجود داشته و همچنين فايل setup.asp آن بعد از نصب پاک نشده بود، شخص نفوذگر سيستم را با همين ديتابيس دوباره از نو نصب کرده و اقدام به تغيير قالب آن کرده است. توضيح اينکه فايل setup.asp براي نصب اوليه اسپ سوار ميباشد و حتي براي امنيت بالا با يک بانک اطلاعاتي دوبار کار نميکند! اما همانطور که ديده ميشود، در اين سايت ما دو بانک اطلاعاتي داشته ايم! يک بانکي که خود سيستم با آن کار ميکرد و خارج از root هم بود. بانک ديگر کپي بانک اوليه که از روي اشتباه کسي که آنرا نصب ميکرد در آدرس اوليه باقي مانده بود.
2- سايت www.vbehzadian.com: نصاب اسپ سوار در اين سايت نه تنها جاي ديتابيس رو عوض نکرده بود، بلکه اسم آنرا هم تغيير نداده بود. وبه راحتي فايل ديتابيس از آدرس http://www.vbehzadian.com/blog/blogadmin/db/database.mdb قابل دانلود بود.
3- در يک مورد ديگر هم اسم فايل ديتابيس عوض شده بود، ولي در همان زيرشاخه قرار داشت. تا اينجاي مسئله مشکلي وجود ندارد.زيرا حدس زدن نام ديتابيس براي يک نفوذگر همانند حدس زدن يک پسورد کار دشوار و زمانگيري است! مشکل اين سايت اين بود که دايرکتوري ديتابيس، Directory Listing آن فعال بود. يعني با رفتن به آدرس شاخه بانک اطلاعاتي، ليست فايلهاي موجود در آن قابل مشاهده بوده و با کليک بر روي آن، فايل بر روي کامپيوتر نفوذگر دانلود ميشد!

همانطور که ملاحظه ميکنيد، تمامي اين مشکلات از عدم اطلاع نصاب بوده است و نه هيچ چيز ديگر. تمامي اين موارد مانند اين است که براي سايتي کلمه عبوري تعريف کنيم و بعد کلمه عبور را در زير صفحه ورودي سايت بنويسيم تا هر کسي بتواند با آن وارد سيستم شود. اين که کسي کلمه عبور را ميداند و وارد سيستم ميشود، دليل بر ضعف برنامه ورودي نبوده و نيست! بلکه دليل بر ضعف آن کسي است که کلمه عبور را در سايت نوشته است.

ضمنا از تمامي دوستاني که مي خواهند اسپ سوار را نصب کنند و از آن استفاده کنند، تقاضا دارم حتما موارد زير را مورد توجه خود قرار دهند:
1- فايل ديتابيس اسپ سوار در فايل زيپ در همين شاخه پيشفرض blogadmin/db/database.mdb ميباشد. لطفا پس از باز کرد فايل زيپ اين فايل را به خارج از root سيستم انتقال دهيد. در اکثر موارد و در هاست هاي مطمئن يک پوشه به نام db و يا database در کنار www يا wwwroot در ftp وجود دارد که توصيه ميکنيم اين فايل را در همين فولدر کپي کنيد. اگر هم اين فولدر را پيدا نکرديد کافي است نام پوشه و آدرس بانک اطلاعاتي را عوض کنيد و بعد آنرا آپلود کنيد. (لازم به ذکر است که پوشه بانک اطلاعاتي شما به هر اسمي که باشد، بايد دسترسي خواندن و نوشتن توسط webuser داشته باشد.)
2- حتما دقت کنيد که فايل بانک اطلاعاتي خود را از آدرس قبلي پاک کنيد! در اين صورت هيچ نيازي به پاک کردن فايل setup.asp نيست. زيرا همانطور که گفتم اين فايل خود تنها يک بار قابل استفاده است و بعد ار نصب توسط يک بانک اطلاعاتي ديگر قابل استفاده نيست. اما براي اطمينان بيشتر ميتوانيد اين فايل را پاک کنيد.
3- سيستم اسپ سوار براي نصب بر روي يک دامين طراحي شده است! اگر بر روي يک دامين چند اسپ سوار نصب کنيد، هر کسي با ورود به يکي ار کنترل پنل هاي اسپ سوار به باقي کنترل پنل ها دسترسي خواهد داشت. پس سعي کنيد بر روي هر دامين از يک اسپ سوار بيشتر استفاده نکنيد. ضمنا بهتر است بر روي هاست هاي رايگان هم نصب نشود.

اگر افرادي اسپ سوار را به اشتباه نصب کرده اند و آدرس بانک اطلاعاتي آنها به همان نام و در همان فولدر است، ميتوانند نام بانک را عوض کرده، سپس در فايل config.asp که در فولدر includes در همان شاخه blogadmin وجود دارد اين تغيير را به صورت دستي وارد کنند.

جهت اطلاعات بيشتر نيز ميتوانيد با آدرس ايميل info@asp-rider.com تماس بگيريد.

با تشکر
نوید خادم ( طراح و برنامه نویس اسپ سوار)
http://www.asp-rider.com

لینک مطلب در ITIran

امنیت!

امروز یک ایمیل گرفتم که توش نوشته بود اسپ سوار ها دارن هک میشن! بعد که پیگیری کردم دیدم که یه نفر اومده یه سایت زده را جع به امنیت!!!! با اسپ سوار برای وبلاگش کار میکنه! بعد تو پستهاش این رو نوشته بود که:

در عرض ۵ ساعت بیشتر از ۳ تا باگ که همشون مستقیما باعث هک شدن وبلاگ میشدن کشف شدن و البته patch هم شدن! چند تا باگ دیگم هستن که patch میشن. شاید برای مدت ۲-۳ ساعت این قسمت غیر فعال بشه.

در ضمن یه چیزی برام خیلی عجیب بود: در عرض همین ۵ ساعت، ۱۱۸ نفر بازدید کننده داشتم! واقعا از انتظارم خیلی بیشتره.

احتمالا تا جمعه روش هک کردن سایتهایی که از همین سیستم (asp-rider) استفاده میکنن رو به صورت مقاله میزارم تو سایت.

با تشکر از حسین خان و آقای فاطمی که در پیدا کردن باگها کمکم کردن.

خدا حافظ

دقیقا یک خورده بعد از اینکه من این وبلاگ رو دیدم خود این سایت هک شد!!!! جالبه نه؟؟؟ میدونین مشکل چیه؟؟

آخه من به چه زبونی به شماها بگم که بابا جونم!!!!! اسم فایل دیتابیستون رو عوض کنییییییییییییییییییییییییییییییییییین!!!!!!!!!!!!!!!!!!!!! آخه من چی بگم؟

اونوقت مدعی امنیت هم میشن! باگ هم برا من پیدا میکنن!! اگر یه فولدر خارج از رووت وب سایت برای دیتابیس ندارین حداقل اسم فایل دیتابیسش رو عوض کنین!!!!!!!!!!!

حالیتون میشه یا نه؟؟ خوب آدم عصبانی میشه برای بی ملاحظه بودن ملت!!! سیستم بره زیر سوال!!!

بانک اطلاعات تلفنی (۱۱۸) استان تهران

http://www.karaj.info/118/

سلام

سلام ... باورم نمیشه که اينقدر سرم شلوغ بشه و نتونم بیام اینجا که این همه خاک بخوره .. الانم اومدم یه روغن کاریش بکنم و برم ...

فقط یه توضیح خدمت آن عزیزانی که لطف کردن و من رو راهنمایی کردن که چجوری میتونم لوگو رو بردام عرض کنم که، فکر نکنم یه همچین کاری رو کردن کار حتی بشه گفت آسونی باشه!!! چون یه کمی اون ور تر از آسونه!!! پسر خاله من که الان ۵م دبستانه هم میتونه این کار رو بکنه!!! مهم جنبه اخلاقی این کاره! من میخواستم این رو بگم که این کار با دزدی هیچ فرقی نداره!!! فکر نکنیم دزدی کردن بالا رفتن از دیوار مردمه!!! این شاید از اون هم بد تره!!! که زحمات کس دیگه ای رو به جای خودتون بزنین و کلی مدعی هم باشین! من نمونه این کار رو زیاد دیدم. حتی جدیدن چند تا سایت اداری و دولتی دیدم که خیلی راحت PHPNUKE رو جای سایت تحویل مردم دادن! حتی یکیشون رو هم میدونم که یک پروژه ۱۲ میلیونی برای نصب PHPNUKE تعريف کردن!!!

ما کی دست از این دله دزدیها بر میداریم ... خدا داند!

PHPNUKE

کسی ميتونه کمکم کنه راجع به لايسنس PHPNUKE؟ ميخواستم بدونم کسی ميتونه لوگوی ين برنامه رو حذف بکنه و به اسم خودش بزنه؟ يعنی اين موضوع خارج از لايسنسش نيست؟

پ.ن: منظور من اين سايته

قسمت کاربران

توی دمو قسمت کاربران رو اضافه کردم ...

برای وبلاگ گروهی ... يه نگاه بندازين ... فکر نکنم هيچ برنامه ای تا اين حد دست مدير رو باز بذاره که اينقدر ريز بتونه سطح دسترسيا رو به اين راحتی بسازه!

البته ناگفته نمونه که هنوز کار نميکنه و کمی مشکل داره. فقط خواستم نظر شما رو در اين مورد و اين سبک کار بدونم.

تگهای موجود در اسپ سوار

http://weblog.asp-rider.com/commands.txt

تگهای موجود در اسپ سوار

http://weblog.asp-rider.com/commands.txt

چند مورد.

۱- اونهايی که تا به حال به info@asp-rider.com ايميل زدن و جواب نگرفتن دوباره اين کار رو بکنن چون کمی مشکل داشت که رفع شده.

۲- کسانی که اسپ سوار رو نصب ميکنن خواهشا آدرس و يا اسم ديتابيس رو از حالت پيش فرض خارج کنن مثلا اسم ديتابيس رو بزارن yourname123.mdb به جای اونی که هست يعنی database.mdb .

۳- ضمنا اگر اسپ سوار رو روی سيستم خودتون نصب کردين و بعد از اعمال تغييرات اون رو فرستادين روی سرور ... ابتدا بايد فايل Config.asp رو تغيير بدين ... بايد آدرس ديتابيس جديد رو توی اون بذارين! البته به صورت فيزيکی ... يعنی برای مثال: c:\wwwroot\yoursite.com\www\weblog\blogadmin\db\abc123.mdb

۴- فايل Setup.asp رو هم لطفا بعد از نصب پاک کنين! برای راهنمای آدرس فیزیکی هم ميتونين به صفحه دوم همين فايل برين. اونجا يک آدرسی ميده که تا حدی ميتونه شما رو کمک کنه!

۵- هنوز منتظر رسيدن راهنماهای شما عزيزان هستم!

پ.ن: من يه جايی رو اينترنت ميخوام که MT رو نصب کرده باشن باهاش ور برم ببينم چی داره!!! کسی جايی سراغ داره؟

موتورهاي جستجو ...

يادم يه زماني مردم دنبال اين بودن که مطالبشون توي گوگل و اينها ايندکس شه! بعد ميگفتن اسپ سوار خوب نيست چون صفحات رو Generate نميکنه و به همين دليل search engine ها باهاش مشکل دارن! بعد يک صفحه ساختم به اسم ALLPAGE.ASP که ميومد همه مطالب رو در خودش جاي ميداد بعد هم توي search engine ايندکس ميشد. يعني هدف من اين بود. ولي همون اول يکي اومد گفت اين صفحه کار نميکنه! حالا امروز يه کسي از اين طريق اومده بود تو سايت من! کلي حال کردم که يه روشي که اختراع کردم به خوبي کار کرد! همونطور که حدس ميزدم! کللي به خودم اميدوار شدم! ديدم که باز يه کاري کردم که اجنبي ها دهنشون باز بمونه! به عقلشون هم همچين روشي نميرسيد! ببينم حالا اين MT پرستها چي ميخوان بگن؟!

من يه چيز رو ثابت ميکنم که کار ايرانيها تو همه جاي دنيا تکه!!! همين! حالا هي بعضيا بگن قربونت برم MT چاکرت بشم MT چه ميکنه اين MT واي من بخورم از ...ت MT !!!

يه search که صفحه جستجو رو مياره! تستش کنين!