نوشته‌شده در

چگونه می توان حساب ها را در پایگاه داده های نشت یافته بر مبنای نام دامنه در آدرس ایمیل پیدا کرد؟

من دوست دارم در دیتابیس های نشت یافته براساس نام دامنه مرتبط با آدرس ایمیل نشت پیدا کنم. پایگاه های داده های عمومی مانند https://haveibeenpwned.com/ این توانایی را دارند تا حدی. جستجو تنها زمانی ممکن است که آدرس ایمیل کامل شناخته شده باشد یا حوزه تأیید شده باشد.

به نظر می رسد که این ویژگی Hasibeenpwned.com را ارائه نمی کند، اگرچه درخواست ویژگی مربوطه را در اینجا پیدا کردم: https://haveibeenpwned.uservoice.com/ forums / 275398-general / suggestions / 19170856-add-domain-search-function-to-api-functions که ظاهرا به علت تعداد کم شمارش آرا به نظر نمی رسد بسیار محبوب هستند. هر چند رأی دادن را رد کنید

آیا سرویس دیگری (API) شناخته شده است که قابلیت جستجوی حساب های نشت شده بر اساس نام دامنه را فراهم می کند؟

من علاقه مند به گزینه جمع آوری، نمایه سازی و تجزیه و تحلیل پایگاه های داده شده به اندازه کافی هستم.

نوشته‌شده در

ذخیره سازی داده های مشتری ایمن (انطباق)

من یک نقص داده ای را در بر داشتم که در آن توسعه دهندگان یک سازمان برخی از اطلاعات مشتری PII را در حساب github خود ذخیره کردند. حس مشترک به من می گوید که این چیزی است که به وضوح احمقانه و بی دقت است.
سوال من این است که آیا استانداردهای امنیتی وجود دارد که به طور خاص تنظیم می کند که چگونه و چگونه سازمان باید داده های مشتری ذخیره شده را ذخیره کند؟ من NIST 800-53 را بررسی کرده ام و کمی زحمت کشیدم ولی هیچ راهنمایی روشن نداشتم. مانند مثال اگر سرور پایگاه داده باید در محیط شبکه داخلی کنترل شده پشت فایروال باشد، داده ها رمزگذاری شده و غیره
در مثال نقض اطلاعات، داده ها به سرور عمومی github با تنها یک رمز عبور محافظت از داده ها گذاشته شد و احتمالا این حساب احتمالا به اشتراک گذاشته شد.
هر گونه مراجعه به استانداردهای خاص (و پاراگرافها) بیشتر مفید خواهد بود.

نوشته‌شده در

چگونه می توانم SQLmap را انجام دهم

من تازه در SQL mapping سعی کردم وب سایت خود را که در PHP برای توسعه مهارت تست نفوذ من تست شده است، تست کنم. من تمام اطلاعات پایگاه داده و جدول را پیدا کردم. اما پس از آن چه می توانم بعدا انجام دهم؟ آیا می توانم نقشه برداری SQL به من کمک کند آپلود پوسته ؟ یا چقدر می توانم با SQLMAP برویم.

نوشته‌شده در

پایگاه های داده – چقدر مخاطره آمیز ساختار جدول برای کاربران خطرناک است؟

اگر به این سوال نادان عذرخواهی می کنم

من به تازگی یک وبسایت را مشاهده کردم که در صورت درخواست وبسایت شکست خورد، خطای ورود آن را در پاسخ JSON وارد کرد. در این مورد، به نظر میرسد عدم انطباق DB وجود دارد و درخواست SQL از جمله ساختار جدول DB را به کنسول به صورت زیر چاپ کرد:

Statement SQL

How unsafe / خطرناک این است، و چرا؟

روده من به من می گوید این عمل بد است و بسیار امن نیست، اما من نمی توانم به دقت دلیل دقیق را مشخص کنم.

نوشته‌شده در

پایگاههای داده – محدود کردن نوردهی کد منبع

می گویند شما به تکنسین های مرکز داده (یا مدیریت) اعتماد ندارید، اما هیچ گزینه دیگری از میزبانی برنامه وب خود را با آنها ندارید.

همچنین می گویید که می خواهید برخی از فایل ها را غیر قابل دسترسی به افرادی که دسترسی به

سوال
چگونه تنظیمات زیر را در تأمین کد منبع و سایر فایل های حساس تأثیر می گذارد؟

روش حفاظت:

فرض کنید که برنامه از ستون زیر استفاده می کند:
LEMP + Redis + Node (Websocket)

A. یک پیکربندی زمانی

  1. غیر فعال کردن خودکار راه اندازی Nginx، Redis و MySQL
  2. یک پوشه ریشه برای یک پارتیشن RAMDISK ایجاد کنید:
    mkdir -p / media / private
  3. تغییر دایرکتوری داده MySQL به / media / private / mysql

B. پس از هر بار راه اندازی مجدد

  1. پارتیشن RAMDISK را ایجاد و نصب کنید:
    mount -t tmpfs -o size = 2048M tmpfs / media / private /
  2. دایرکتوری زیر را در زیر / media / private
  3. فایل های داده MySQL را آپلود کنید، فایل پیکربندی Nginx، پرونده های SSL cert، فایل پیکربندی Redis، فایل های منبع پی اچ پی و پرونده های پرونده های گره را در زیر پوشه مناسب / media / private
  4. سرور با پیکربندی سفارشی
  5. شروع سرور MySQL
  6. شروع Nginx با پیکربندی سفارشی