با سلام و درود ، دوستان من یه اپلیکشن دارم که هنوز رو مارکت پابلیش نشد اما از همین حالا با دغدغه ی امنیتیش بدخواب شدم. یکی از سوالاتی که واسم پیش اومده که آیا محتویات فایل های سرور قابل خووندنه!؟ به عنوان مثال محتویات فایل های وب سرویس یا محتویات فایل های اطلاعات ورود به بانک اطلاعاتی و یا حتی مثلا یه عکس کوچولو و ساده ...اگر پاسخ جوابم مثبته چه راهکاری برای امنیتش وجود داره و یا اساسا همچین چیزی وجود نداره (شما هکرها یه مثالی دارید که میگه اگه یه کامپیوتری رو تو یه قویترین گاوصندوق دنیا و تویه اعماق زمین دفنش کنند و بعد یه لشکر سرباز و قشون هم بالا اون بزارن باز ما هکرها یه راهی واسه نفوذش پیدا میکنیم). من خودم تا حالا بعضی موقه ها یه وضولی هایی کردم تو بعضی از وب سرویس های موجود تو سرور سایت مختلف (البته اونهایی که درپیت بودن نه به عنوان مثال هیچ وقت به خودم حتی این جرعت بدم که مثلا با وب سرویس بانک ملت ور برم و اون رو انگولک کنم چونکه میدون این وب سرویس ها 24 ساعته مونیتور میشن و زود از طریق آیپی شناسایی میکنند و که اگه ندنت دست پلیس فتا و پیگیری قضایی ، زود باهات تماس میگیرن که آقا با سایت ما چی کا داری و یا ...)
مثلا اومدم با آزمون و خطا و حدس زدن یه فیلد هایی رو به وب سرویس خروندم و بعضی موقه ها یه اطلاعات محدودی هم گرفتم و هی از رو کنجکاوی دوس داشتم از محتویات فایل وب سرویس (مثلا Name=kdsjdskd?http:\\domain.ir\\web-ser.php) فلان سایت سر در بیارم و دانلودش کنم ، سوال اصلی من اینه آیا راهی برای دانلود فایل وب سرویس و یا فایل هایی که مسیر اون رو سایت میدونیم هست و بعدا ببنیم چه جوری کدنویسی شدن!؟ چه راهکارهایی رو برای امنیت همچین سناریویی به من پیشنهاد میکنید!؟ امروز با استاد نصیری صحبت میکردم و ایشون به من گفتن تو لایه سوم امنیتی میتونی از اینکریپشن برای اطلاعات استفاده کنی و من در پاسخ ایشون گفتم اطلاعات من اطلاعات حساسی نیست که بخوام کدینگ رو اون بذارم که اگه مثلا تو میونه راه و شبکه استراق شد کسی ازش سر در نیاره و اطلاعات بدرد بخوری باشه برای هکر و یا ارزش زمان و پروسس اطلاعات براش داشته باشه که اون دیکد کنه ، نه من اطلاعاتم من یه اطلاعات ساده ای که رو نت وجود داره ولی من نمیخوام اون ها رو علنی کنم منظورم اطلاعاتی هستیش که رو دتابیس من که مای اسکیواله و از طریق وب سرویس و خروجی جیسون یا جیسان در اختیار یوزر نهایی در اپلیکشن قرار می گیره و نمایش داده میشه هست.احساس میکنم یه ذره گنگش کردم و این توضیحاتو باید تو اول سوالم میاوردم ولی برای مقدمه خوب بود که شما عزیزان بدونید مدنظرم چیه و دغدغه چی رو دارم سوالم رو با شماره گذاری مطرح میکنم
1- آیا راهی برای دانلود فایل وب سرویس سایت و دومین ها وجود داره و بداٌ ما بیایم محتویاتش رو بخونیم !؟
2- چه راهکاری برای جلوگیری از شماره یک وجود داره و برای حفاظت وب سرویس چه پیشنهادهایی رو به من میدید!؟
پیشاپیش از پاسخ هاتون کمال تشکر و امتنان رو دارم و برای همتون بهترین ها رو آرزو می کنم و کاشکی منم هک یاد میگرفتم اینو به شوخی میگم حداقل میتونستم آخرای فارغ تحصیل نمره های نکبتیمو تغییر میدادم چه با حال میشد اون موقه(جدی نگیرید آخری رو )...
