گرفتن پسورد با استفاده از تابع

جامعه‌ها وبلاگ شروع یادگیری برنامه نویسی

اگر ما یک طراح وبسایت باشیم و بر روی وردپرس یک سایت بالا آورده باشیم و آن وبسایت به همراه تمامی یوزر پسورد‌ها در اختیار کارفرما قرار بدیم ، آیا میتونیم تابعی بنویسیم و در وردپرس قرار بدیم که اگر کارفرما رمز سایت رو عوض کرد با اجرای سایت و اجرای تابع نوشته شده ، رمز جدید رو بگیره و به ایمیل ما ارسال کنه ؟ در واقع یک روش دور زدن داشته باشه ؟

سلام،

با این کار شما یک backdoor در سایت قرار میدهید که هم از لحاظ امنیتی و هم از لحاظ اخلاقی(بدون اطلاع کارفرما) و قانونی مشکل دارد. از لحاظ امنیتی اگر فرد دیگری بتواند به بک دور دسترسی پیدا کند میتواند سواستفاده کند.

پیشنهادم ایجاد قراردادی شفاف است.

محسن موحد ۲۳ مهر ۱۴۰۳، ۱۱:۵۶

نه برای قرار داد نبود دلیل اینکه خودم رو قرار دادم به عنوان شخص اصلی صرفا مثال بود و گرنه در اصل میخواستم بدونم من یک سایتی از شخصی تحویل گرفتم میخواستم بدونم این شخص میتونه تابعی بنویسه یا بکدور به اصطلاحی که فرمودید و یوزر پسورد جدید رو بگیره و سو استفاده کنه ؟ و اگر میشه راه حل تشخیصش چیست ؟

رامهر ۲۳ مهر ۱۴۰۳، ۱۹:۲۹

این امکان وجود داره. اگر طراح قبلی کدی مخفی (بک‌دور) توی سایت گذاشته باشه، می‌تونه پسوردهای جدید رو بگیره و ازشون سوءاستفاده کنه. اما اگر پسوردها هش شده باشن (که باید این‌طور باشه)، اون شخص فقط به پسوردهای هش‌شده دسترسی پیدا می‌کنه و نه پسورد خام. هش کردن، پسورد رو به یک رشته کد تبدیل می‌کنه که برگشت‌پذیر نیست و بدون داشتن پسورد اصلی قابل استفاده نیست.

برای تشخیص این خرابکاری هم می‌تونی از ابزارهای امنیتی مثل افزونه‌های اسکن امنیتی وردپرس استفاده کنی یا از یک متخصص امنیت بخوای (یا توسط خودت) که کدهای سایت رو چک کنه و مطمئن بشه که هیچ بک‌دور یا کد مشکوکی وجود نداره.

بهترین پاسخ

محسن موحد ۲۴ مهر ۱۴۰۳، ۲۰:۰۶