نام نویسنده: نويد خادم
بخش مقاله آى تى ايران – سيستم اسپ سوار، اولين سيستم مديريت محتواى 100 درصد فارسى(مديريت وبلاگ و وب سايت)، با امکانات کم نظير خود در بين ساير برنامه هاى مديريت محتوا مدتى است که به محبوبيت قابل توجهى رسيده است و با توجه به اينکه هنوز جايى براى دانلود قرار داده نشده است، چندين وبلاگ و وب سايت بزرگ و کوچک از اين سيستم استفاده ميکنند. اين سيستم با ستفاده از بانک اطلاعاتى اکسس و ASP برنامه نويسى شده است. در مورد مسايل اخير و مبحث وجود باگ در اين سيستم توضيحاتى را ضرورى دانستم که ذيلا معروض ميدارم:
فايل بانک اطلاعاتى اسپ سوار اگر خارج از زير شاخه اصلى و يا همان root نباشد با استفاده از URL مستقيم قابل دانلود ميباشد و چون کليه اطلاعات اسپ سوار از جمله کد کاربرى و کلمه عبور در اين بانک مى باشد پس از دانلود اين بانک توسط نفوذگر، سيستم با استفاده از کلمه عبور و کد کاربرى شخص قابل نفوذ مى باشد. همانطور که ملاحظه مى کنيد اين مشکل نه از مايکروسافت است و نه از اسپ سوار، بلکه مشکل تنها از افراد ناواردى است که با توجه به اخطارهاى بنده نسبت به تغيير نام و آدرس ديتابيس، هنوز هم زمانى که اسپ سوار را نصب ميکنند، نه تنها فايل بانک اطلاعاتى اين سيستم را خارج از root نميريزند بلکه حتى نام آنرا هم عوض نمى کنند.
عده اى از افراد هم که سريعا بر عليه اين سيستم بلند مى شوند اين مسايل را در بوق و کرنا کرده و همه جا اين مشکلات را به مايکروسافت و اسپ سوار نسبت مى دهند!
عده اى از مشکلاتى را که اين چند روزه از نصب نا صحيح اين سيستم به وجود آمده است ذکر مى کنم:
1- سايت وب نوشت: بانک اطلاعاتى اين سيستم خارج از wwwroot ميباشد، ولى چون کپى آن در همان زيرشاخه yourweblog/blogadmin/db/database.mdb وجود داشته و همچنين فايل setup.asp آن بعد از نصب پاک نشده بود، شخص نفوذگر سيستم را با همين ديتابيس دوباره از نو نصب کرده و اقدام به تغيير قالب آن کرده است. توضيح اينکه فايل setup.asp براى نصب اوليه اسپ سوار ميباشد و حتى براى امنيت بالا با يک بانک اطلاعاتى دوبار کار نميکند! اما همانطور که ديده ميشود، در اين سايت ما دو بانک اطلاعاتى داشته ايم! يک بانکى که خود سيستم با آن کار ميکرد و خارج از root هم بود. بانک ديگر کپى بانک اوليه که از روى اشتباه کسى که آنرا نصب ميکرد در آدرس اوليه باقى مانده بود.
2- سايت www.vbehzadian.com: نصاب اسپ سوار در اين سايت نه تنها جاى ديتابيس را عوض نکرده بود، بلکه اسم آنرا هم تغيير نداده بود. وبه راحتى فايل ديتابيس از آدرس http://www.vbehzadian.com/blog/blogadmin/db/database.mdb قابل دانلود بود.
3- در يک مورد ديگر هم اسم فايل ديتابيس عوض شده بود، ولى در همان زيرشاخه قرار داشت. تا اينجاى مسئله مشکلى وجود ندارد.زيرا حدس زدن نام ديتابيس براى يک نفوذگر همانند حدس زدن يک پسورد کار دشوار و زمانگيرى است! مشکل اين سايت اين بود که در دايرکتورى ديتابيس، Directory Listing آن فعال بود. يعنى با رفتن به آدرس شاخه بانک اطلاعاتى، ليست فايلهاى موجود در آن قابل مشاهده بوده و با کليک بر روى آن، فايل بر روى کامپيوتر نفوذگر دانلود ميشد!
همانطور که ملاحظه ميکنيد، تمامى اين مشکلات از عدم اطلاع نصاب بوده است و نه هيچ چيز ديگر. تمامى اين موارد مانند اين است که براى سايتى کلمه عبورى تعريف کنيم و بعد کلمه عبور را در زير صفحه ورودى سايت بنويسيم تا هر کسى بتواند با آن وارد سيستم شود. اين که کسى کلمه عبور را ميداند و وارد سيستم ميشود، دليل بر ضعف برنامه ورودى نبوده و نيست! بلکه دليل بر ضعف آن کسى است که کلمه عبور را در سايت نوشته است.
ضمنا از تمامى دوستانى که مى خواهند اسپ سوار را نصب کنند و از آن استفاده کنند، تقاضا دارم حتما موارد زير را مورد توجه خود قرار دهند:
1- فايل ديتابيس اسپ سوار در فايل زيپ در همين شاخه پيشفرض blogadmin/db/database.mdb ميباشد.
لطفا پس از باز کرد فايل زيپ اين فايل را به خارج از root سيستم انتقال دهيد. در اکثر موارد و در هاست هاى مطمئن يک پوشه به نام db و يا database در کنار www يا wwwroot در ftp وجود دارد که توصيه ميکنيم اين فايل را در همين فولدر کپى کنيد. اگر هم اين فولدر را پيدا نکرديد کافى است نام پوشه و آدرس بانک اطلاعاتى را عوض کنيد و بعد آنرا آپلود کنيد. (لازم به ذکر است که پوشه بانک اطلاعاتى شما به هر اسمى که باشد، بايد دسترسى خواندن و نوشتن توسط webuser داشته باشد.)
2- حتما دقت کنيد که فايل بانک اطلاعاتى خود را از آدرس قبلى پاک کنيد! در اين صورت هيچ نيازى به پا کردن فايل setup.asp نيست. زيرا همانطور که گفتم اين فايل خود تنها يک بار قابل استفاده است و بعد ار نصب توسط يک بانک اطلاعاتى ديگر قابل استفاده نيست. اما براى اطمينان بيشتر ميتوانيد اين فايل را پاک کنيد.
3- سيستم اسپ سوار براى نصب بر روى يک دامين طراحى شده است! اگر بر روى يک دامين چند اسپ سوار نصب کنيد، هر کسى با ورود به يکى ار کنترل پنل هاى اسپ سوار به باقى کنترل پنل ها دسترسى خواهد داشت. پس سعى کنيد بر روى هر دامين از يک اسپ سوار بيشتر استفاده نکنيد. ضمنا بهتر است بر روى هاست هاى رايگان هم نصب نشود.
اگر افرادى اسپ سوار را به اشتباه نصب کرده اند و آدرس بانک اطلاعاتى آنا به همان نام و در همان فولدر است، ميتوانند نام بانک را عوض کرده، سپس در فايل config.asp که در فولدر includes در همان شاخه blogadmin وجود دارد اين تغيير را به صورت دستى وارد کنند.
با توجه به اينکه چيزى حدود يک سال و يک ماه از حضور اسپ سوار ميگذرد، هنوز مشکل و يا باگى که موجب حمله به اين سيستم شود گزارش نشده است.
جهت اطلاعات بيشتر نيز ميتوانيد با آدرس ايميل [email protected] تماس بگيريد. *( طراح و برنامه نويس اسپ سوار)
http://www.asp-rider.com
