post

طراحی پورتال جامع سازمان های جامع مردم نهاد

پورتال جامع سازمان های جامع مردم نهاد فرمانداری بندر ماهشهر 

 

نام پروژه : پورتال جامع سازمان های جامع مردم نهاد فرمانداری بندر ماهشهر

آدرس وب سایت : www.bm-saman.ir

تصویر :

Capture

 

ویژگی ها

  • سازگاری با تبلت و گوشی

  • دارای ساید بار متغیر

  • تغییر رنگ سایت

  • دارای تم اپشن خیلی قوی

  • طراحی شیک و به روز

  • تب های آخرین مطالب، پر بازدید ترین مطالب و محبوب ترین مطالب

  • اشتراک گذاری مطالب در انتهای سایت

  • صفحه نخست و لینک مستقیم به دسته ها

  • پشتیبانی از فهرست ها در دو ناحیه

  • کاملا ریسپانسیو

 

post

افزونه موشک نویسنده وردپرس

افزونه موشک نویسنده وردپرس

وب سایت شما را بدون نیاز به صرف هزینه های سنگین و اتلاف وقت با صدها مطلب انتخاب شده از سوی شما به طور کامل و لحظه ای بروز رسانی می کند . این افزونه به سایت های خبری وتفریحی پیشنهاد میشود و به راحتی یک کلیک میتوانید سایت خود را با هزاران مطلب مختلف بروز کنید.

این افزونه همراه با آموزش ویدیویی –  پشتیبانی تخصصی  و بروزرسانی های ویژه به فروش می رسد .

برخی امکانات موشک نویسنده وردپرس

دریافت مطالب از فید ها به صورت کامل

ساخت فید به صورت نامحدود

پاک کردن مطالب تکراری و مشابه

ذخیره ی عکس های مطالب در سایت

آبدیت فید ها به صورت منظم

ایمپورت و اکسپورت گرفتن از فید ها

مشاهده گزارشات مطالب ارسالی توسط افزونه

پشتیبانی از کران جاپ و بروز رسانی خودکار

پشتیبانی از برچسب برای مطالب ارسالی به صورت خودکار

۱

برای خرید محصول نیاز به مشاوره دارید ؟    ما همیشه آماده خدمت گذاری هستم 

شماره های  تماس : ۰۹۳۶۷۹۸۵۳۲۸ یا ۰۹۳۶۰۹۴۴۶۶۶ 

یا از طریق فرم زیر درخواست خود را ثبت نمایید

[contact-form-7 id=”158″ title=”فرم تماس ۱”]

post

طراحی و راه اندازی پایگاه خبری افق اندیمشک

نام پروژه : طراحی و راه اندازی پروژه پایگاه خبری تحلیلی افق اندیمشک
آدرس وب سایت : www.ofoghandimeshk.ir

تصویر :

small_apple-22222012-15-inch-macbook-pro-retina-big

برخی از امکانات وب سایت :

۱- راستچین بودن و فارسی بودن تمام اجزا


۲- کاملا ریسپانسیو


۳- سازگار با انواع مرورگرها


۴- فوق العاده سبک


۵- امکان تمام صفحه کردن هدر و فوتر سایت


۶- پشتیبانی از فهرست ها در دو ناحیه


۷- خبر نامه اختصاصی


۸- پشتیبانی از شبکه های اجتماعی


۹- نوار اخبار حرفه ای


۱۰- منوی آبشاری متغیر در ۲ طرح


۱۱- اسلایدر صفحه اصلی با قابلیت تعویض در ۲ طرح و انتخاب دسته مورد نظر


۱۲- اسلایدر گالری ناحیه ابزارک


۱۳- فرم جستجوی هدر سایت


۱۴- پشتیبانی از ابزارک ها در ۲ ناحیه


۱۵- امکان تغییر رنگ ابزارک ها


۱۶- باکس های موضوعی


۱۷- صفحه نخست و لینک مستقیم به دسته ها


۱۸- آخرین مطالب با قابلیت دکمه کنترلی


۱۹- تب های آخرین مطالب، پر بازدید ترین مطالب و محبوب ترین مطالب


۲۰- فرم تغییر طرح قالب به صورت آنلاین از طرف بازدیدکنندگان


۲۱- جعبه درباره نویسنده سایت


۲۲- مطالب مرتبط تصویری برای ماندگاری بیشتر بازدیدکنندگان در سایت


۲۳- نقشه سایت


۲۴- آیکن های متنوع به جای نوشتار در قسمت های مختلف پوسته


۲۵- اشتراک گذاری مطالب در انتهای سایت


۲۶- تغییر پس زمینه سایت


۲۷- تغییر هدر و آیکن سایت


۲۸- امکان نمایش تصاویر شاخص در تک نوشته


۲۹- امکان درج تبلیغات در هدر سایت از طریق پنل تنظیمات


۳۰- امکان تغییر کپی رایت پوسته بدون نیاز به ویرایش قالب


۳۱- و ده ها امکان دیگر

post

طراحی و راه اندازی پایگاه خبری ماهور نیوز

نام پروژه : طراحی و راه اندازی پروژه پایگاه خبری ماهور نیوز
آدرس وب سایت : www.mahoornews.com

تصویر :

Capture

ویژگی های پوسته:
کاملا فارسی
پوسته ۴ ستونه و قابل تغییر به ۳ ستونه
دارای فایل PSD هدر سایت
آپلود فایکون و هدر از پنل تنظیمات
اجزای کامل خبر دارای روتیتر خبر ، زیر تیتر اختصاصی، کد خبر ، تعداد بازدید ، تعداد نظرات
قابلیت اشتراک گذاری مطالب سایت
وجود ۳ نوع اسلایدر زیبا به همراه پنل تنظیمات
نمایش آخرین اخبار
صفحه بندی اخبار
قابلیت مدیریت بخش ها و تبلیغات وب سایت بدون کد نویسی
کاملا کاربر پسند و مناسب برای سایت های خبری ایرانی
نمایش تاریخ روز
نمایش پر بازدید ترین اخبار در وب سایت
نمایش آمار بازدید هر خبر
قابلیت ارسال تصویر برای هر خبر از طریق تصویر شاخص
دارای بخش های تفکیک شده از هم برای نمایش زیباتر مطالب ارسالی و راحتی در کار
برنامه نویسی css3 , html , js , php
دارای منو با تنظیمات از طریق فهرست وردپرس
پشتیبانی از ابزارک برای تبلیغات
قابلیت فعال و غیرفعال کردن هر قسمتی از سایت
دارای پوسته ی اختصاصی برای دسته گالری تصاویر
ایجاد فرم تماس با ما یا هر فرمی که دوست دارید به سلیقه خودتان
به همراه افزونه های مورد نیاز پوسته
پشتیبانی ۹ ماه و نصب رایگان
و امکانات فراوان دیگر

post

انجام عملیات های تست نفوذ

انواع تست نفوذ

شکل ۱ متدلوژی ارزیابی امنیتی و تست‌نفوذ مرکز فناوری های ارتباطات و اطلاعات بیژیسم
در ادامه‌ی مستند به تشریح تک‌تک مراحل نمایش داده‌شده و چگونگی پیاده‌سازی مراحل موجود در این شکل می‌پردازیم.
۱ .تشریح مراحل ارزیابی و تست‌نفوذ
همان طور که در تصویر شماره‌۱ مشخص است، مهاجمین جهت نفوذ به سرورهای یک سازمان مراحل خاصی را به صورت چرخشی دائماً تکرار می‌کنند. در تدوین متدلوژی ارزیابی و تست‌نفوذ به این چرخه توجه فراوانی شده و سعی گشته تا با تلفیق آن‌ها با استاندارد‌های امنیتی مانند OWASP و ISSAF و یا OSSTMM یک روند مناسب جهت تشخیص، اثبات و امحای حد‌اکثری آسیب‌پذیری‌ها ایجاد کرد.

۱-۱ مرحله‌ی اول : نقشه‌کشی

در این مرحله تمامی مراحل کوکچکتر مربوط به آماده‌سازی شرایط جهت شروع ارزیابی امنیتی و تست نفوذ انجام می‌گیرد.

۱-۱-۱ جمع‌آوری اطلاعات

جهت اجرای یک تست نفوذ تمام‌عیار تیم ارزیاب باید تمامی اطلاعات مربوط به سازمان، افراد مسئول، شبکه‌ی سازمان، اطلاعات مربوط به برنامه‌های کاربردی مورد استفاده و فعال در سازمان و به طور کلی هر نوع اطلاعاتی که به شناخت بیشتر سازمان هدف کمک کند، مورد نیاز است. این مرحله از کار در واقع شبیه‌سازی همان چیزی است که یک رخنه‌گر مهاجم در ابتدای عملیات نفوذ خود انجام می‌دهد. در این مرحله رخنه‌گر سعی در شناخت هرچه بیشتر سازمان هدف می‌کند تا بتواند دامنه‌ی وسیع‌تری را جهت کشف آسیب‌پذیری در اختیار داشته باشد. همواره شناخت بیشتر از یک سازمان برابر است با آسیب‌پذیری‌های احتمالی بیشتری از آن.

۱-۱-۲ جدول‌بندی مراحل پروژه

تمامی مراحل پروژه در این قسمت جدول‌بندی شده و نقشه‌ای از هر فاز پروژه و مراحل مربوط به هر کدام در آن قرار می‌گیرد. این جدول به تیم ارزیاب و کارفرما کمک خواهد کرد تا بدانند در هر مرحله چه فرآیندهایی باید طی شود، در کجای پروژه قرار دارند و همچنین سرعت و کارایی انجام مراحل را می‌توان با استفاده از این جدول اندازه‌گیری و کنترل کرد. لذا در ابتدای هر پروژه ارزیابی امنیتی و تست نفوذ جدول فازهای پروژه به همراه زیر مراحل هر کدام طراحی‌شده و تیم ارزیاب و کارفرما از آن جهت کنترل روند کار و نحوه‌ی پیشرفت در پروژه استفاده می‌کنند.

۱-۱-۳ شناسایی منابع

نوع منابع در هر پروژه ارزیابی امنیتی مشخص می‌گردد. این منابع شامل افراد متخصص درگیر در پروژه، بودجه‌ی کارفرما، نوع ابزارهای مجاز و تکنیک‌های نفوذ مجاز، نوع تست اعم از تست جعبه‌سفید(White test)، جعبه خاکستری(Gray test) و جعبه سیاه(Black test)، هدف پروژه، دامنه‌ی پروژه و همه‌ی اطلاعاتی این‌چنینی می‌شود.
در برخی از پروژه‌ها ممکن است نیاز به استفاده از شرکت سوم جهت انجام برخی از فعالیت‌ها در فرآیند تست نفوذ باشد، لذا این موارد در ابتدای پروژه باید مشخص گردند.
زمان در اختیار پروژه یکی از مهم‌ترین منابع تیم ارزیاب تلقی می‌گردد. در برخی پروژه‌ها ممکن است کارفرما بیشتر از ۱ هفته زمان برای پروژه ندهد و در برخی دیگر امکان وجود زمان ۶ ماه برای انجام کار وجود دارد. مسلماً زمان بیشتر برابر است با تست‌نفوذ و ارزیابی امنیتی عمیق‌تر و کامل‌تر و متعاقباً آزمون‌های با زمان کمتر شرایط خاص خود را داشته و به ضروری‌ترین و حیاتی‌ترین موارد آسیب‌پذیری و امنیتی خواهد پرداخت.
تمامی این‌گونه موارد در RFP ارائه‌شده از کارفرما مشخص خواهند شد.

۱-۱-۴ تخصیص بودجه

میزان بودجه و سرمایه‌ای که کارفرما جهت انجام ارزیابی امنیتی و تست‌نفوذ سازمان خود در نظر می‌گیرد تأثیر مهمی در نوع تست و چگونگی آن دارد. مسلماً در صورت وجود بودجه‌ و منابع بیشتر، خصوصاً زمان بیشتر، تیم ارزیاب قادر خواهد بود موارد بیشتری را پوشش داده و درصد امنیت سازمان را افزایش بیشتری دهد. همچنین تخصیص بودجه‌ی بالاتر باعث استفاده از ابزارها و متخصصین حرفه‌ای تری در پروژه شده و طبیعتاً خروجی آن نیز کامل‌تر و تأثیرگذارتر خواهد بود.

۱-۱-۵ خروجی – نقشه‌ی کار

تمامی موارد بالا به صورت مستندی با عنوان proposal یا همان نقشه‌ی راه تولیدشده و کارفرما را از تمام موارد بالا مطلع خواهد ساخت. این مستند همچنین در طول پروژه به تیم ارزیاب کمک خواهد کرد تا روند ارزیابی و تست نفوذ خود را مدیریت و پایش نمایند.

۱-۲ مرحله‌ی دوم: شناخت و آماده‌سازی

در این مرحله تیم ارزیاب تمامی اطلاعات مورد نیاز خود را از سازمان کسب کرده و بنا به نوع تست که در مراحل قبل مشخص شده است کار را شروع خواهد کرد.

۱-۲-۱ شناسایی سایبری

تیم ارزیاب در این مرحله به شناسایی سایبری سیستم‌های هدف خواهد پرداخت. تک‌تک سرورهای موجود در دامنه‌ی پروژه دارای پرونده‌ی خاص خود شده و تمامی اطلاعات اعم از نشانی آی‌پی، نوع سیستم، فنّاوری‌های مورد استفاده‌ی آن، زبان‌های برنامه‌نویسی مورد استفاده، نوع تجهیزات موجود در شبکه و توپولوژی شبکه، مسئولین هر سرور و شماره‌ تماس آن‌ها، اطلاعات موجود در منابع عمومی و به طور کلی هر نوع اطلاعات دیگر که با یا بدون تعامل با کارفرما می‌توان آن‌ها را به دست آورد.
همان طور که پیش‌تر توضیح داده شد این مرحله شبیه‌سازی کاری است که یک مهاجم در ابتدای نفوذ به یک سازمان انجام می‌دهد. توجه به این نکته ضروری است که تیم ارزیاب در تمام مراحل به شبیه‌سازی عملکرد رخنه‌گر خواهد پرداخت تا آسیب‌پذیری‌های واقعی سازمان در سناریو‌های نفوذ به دست آید.

۱-۲-۲ ارزیابی امنیتی

تمامی دارایی‌ها و اطلاعاتی که از سرور استخراج‌شده مورد ارزیابی امنیتی قرار خواهد گرفت. به این معنی که یک تحقیق جامع بر روی آن‌ها انجام خواهد گرفت تا مشخص شود وضعیت کلی آسیب‌پذیری‌ها در سازمان چگونه است. همچنین به صورت غیرعامل تمامی آسیب‌پذیری‌ها و نقاط ضعف سیستم‌های هدف استخراج خواهد شد. به این صورت تیم ارزیاب می‌داند که دارایی‌های سازمان به طور کامل دارای چه نوع آسیب‌پذیری‌ها و نقاط ضعفی است.

۱-۲-۳ آماده‌سازی ابزارها و منابع

با توجه به مرحله‌ی قبل تیم ارزیاب به آماده‌سازی ابزارها و افراد متخصص مرتبط با پروژه می‌پردازد. همچنین نحوه‌ی تقسیم شدن کار بین اعضا و نقشه عملکردی آن‌ها مشخص خواهد شد. به عنوان مثال اگر در یک پروژه تماماً از زبان برنامه‌نویسی جاوا جهت نوشتن برنامه‌های کاربردی استفاده شده است، افراد متخصص در امنیت جاوا و همچنین ابزارهای تست نفوذ این زبان برنامه‌نویسی و فریم‌ورک‌های آن آماده خواهد شد.
در واقع در این مرحله تیم ارزیاب پیش‌قراولان ارزیابی امنیتی و تست‌نفوذ سازمان هدف را کاملاً آماده کرده و زمان‌بندی انجام کار برای متخصصین و رخنه‌گرهای کلاه سفید تیم مشخص خواهد شد.
بسته به نوع تست تیم ارزیاب یک یا چند سرور حمله (Attack Server) در خارج از شبکه‌ی داخلی کارفرما و یا در داخل آن جهت اجرای شبانه‌روزی آزمون‌ها آماده‌سازی می‌کند. نشانی این سرورها به کارفرما اعلام‌شده تا تمامی شرایط لازم جهت دسترسی آن‌ها به سرورهای هدف آماده گردد.

۱-۳ مرحله‌ی سوم: ارزیابی امنیتی و تست‌نفوذ

در این مرحله فرآیند‌های تست‌نفوذ با استفاده از ابزار و یا به صورت دستی بر روی سرورهای هدف انجام خواهد شد. تمامی مراحل موجود در این قسمت بر روی شناخت آسیب‌پذیری و یا شناخت نقاط ضعف سیستم کار خواهند کرد و هدف نهایی در آن نفوذ به سیستم‌ یا شبکه‌ی سازمان هدف و کشف آسیب‌پذیری‌های مرتبط با آن است.

۱-۳-۱ ارزیابی فعال و غیرفعال

با استفاده از پرونده‌ی ساخته‌شده در مراحل قبل، درگاه‌ها و سرویس‌های فعال بر روی هر سرور مورد پویش قرارگرفته و ریز‌پارامترهای آن کشف می‌شود. همچنین جست‌وجوهایی در سطح منابع عمومی در اینترنت جهت کشف اطلاعات و آسیب‌پذیری از سرور انجام خواهد شد. به عنوان مثال google-hacking یکی از تکنیک‌هایی است که به صورت غیرفعال به کشف آسیب‌پذیری روی سازمان هدف خواهد کرد. در بخش اسکن‌ها و ارزیابی‌های فعال تیم ارزیاب به ارسال بسته‌های شبکه‌ای و شناسایی به صورت مستقیم با سرور خواهد پرداخت تا بتواند موارد بیشتری را علاوه بر تکنیک‌های غیرفعال به پرونده‌ی سرور مورد تست اضافه نماید. در پایان این مرحله تمام اطلاعات سرور که می‌توان به صورت فعال و غیرفعال از آن بیرون کشید در پرونده‌ی سرور مورد ارزیابی قرار خواهد داشت.

۱-۳-۲ شناسایی و پویش آسیب‌پذیری‌ها

حال که تمامی اطلاعات مورد نیاز از سرور و سرویس‌ها و درگاه‌های آن در اختیار تیم ارزیاب قرار دارد، با استفاده از ابزارهای شناسایی آسیب‌پذیری به صورت فعال خواهد پرداخت. شناسایی آسیب‌پذیری‌ها با استفاده از نسخه‌ی سرویس‌ها، نوع پاسخ آن‌ها به بسته‌های ارسالی و تکنیک‌های دیگر انجام می‌گردد. این بخش یکی از اساسی‌ترین مراحل کار است که در آن تیم ارزیاب سعی در شناخت حداکثری آسیب‌پذیری‌های موجود در سرورها از تمام ابزارها و تکنیک‌های کشف آسیب‌پذیری استفاده می‌نماید.

۱-۳-۳ پیاده‌سازی سناریو‌ی نفوذ

در این مرحله که تیم ارزیاب حداکثر آسیب‌پذیری‌های ممکن را در سرورهای سازمان هدف کشف کرده است سعی در نفوذ به آن‌ها با استفاده از آسیب‌پذیری‌های خطرناک و نفوذ‌ساز می‌کند. این آسیب‌پذیری‌ها در واقع مواردی هستند که با استفاده از آن‌ها امنیت سازمان به حداقل ممکن رسیده و در واقع نابود خواهد شد. این کلاس از آسیب‌پذیری‌ها که به نفوذ کامل به سرور می‌انجامند مواردی هستند که تحت هر شرایطی در سرور باید اصلاح‌شده و حذف گردند. چراکه وجود آن‌ها هر نوع فعالیت امنیتی دیگر را نقض کرده و امنیت سیستم را به حداقل خواهند رساند.
در صورت نفوذ موفق تیم ارزیاب تمامی در اولی مرحله سعی در مستند کردن تمامی مراحل و چگونگی آن خواهد کرد. در مواردی کلی سناریو‌ی نفوذ فیلم گرفته‌شده تا در آینده در اختیار کارفرما قرار داده شود. تصاویر و اطلاعاتی که در این بخش از ارزیابی وجود دارد در واقع ما‌حصل کار تیم ارزیابی امنیتی و تست‌نفوذ است و کارفرما نیز همین بخش را مهم می‌داند. چراکه از بین صدها آسیب‌پذیری تنها مواردی که منجر به نفوذ به سازمان می‌گردند برای سازمان force-module خواهد بود و سریعاً اصلاح خواهند کرد.
نهایتاً در صورت نفوذ موفق به سازمان تیم ارزیاب به مستندسازی کل سناریوی نفوذ پرداخته و به مرحله‌ی بعد می‌روند.

۱-۳-۴ پاک‌سازی ردپای نفوذ

در این مرحله سعی به پاک‌سازی تمامی مواردی خواهد شد که به مدیران سرور و توسعه‌دهندگان آن وقوع نفوذ سایبری را اطلاع می‌دهد. در واقع به دلیل شبیه‌سازی بودن مراحل تست‌نفوذ با یک نفوذ واقعی همانند یک رخنه‌گر تمامی ردپاها از سرور پاک خواهد شد تا کارفرما تا پایان کار از وقوع آن اطلاع نیابد.

۱-۳-۵ افزایش و نگه‌داری سطح دسترسی

در این گام رخنه‌گرهای کلاه سفید به افزایش سطح دسترسی‌های حاصل از نفوذ خواهند پرداخت و درعین‌حال سعی در نگه‌داری دسترسی‌های فعلی خواهد شد. کاشت درهای پشتی، نصب اسب‌های تراوا و نصب بد افزارهای پیشرفته‌ی سطح کرنل به دلیل حفظ دسترسی فعلی مهاجمین به سرورهاست، لذا تیم نفوذ با رعایت سطح ریسک موجود برای سرور به اجرای همین موارد خواهد پرداخت تا دسترسی‌های خود را حفظ کند.

۱-۳-۶ چرخش دوباره و تکرار

در این مرحله دوباره مراحل شناسایی، ارزیابی، پرونده‌سازی، شناسایی آسیب‌پذیری و تست‌نفوذ و … اجرا خواهد شد، با این تفاوت که این مراحل همه از سرور نفوذ شده و با سطح دسترسی‌های بیشتر در شبکه‌ی سازمان و سرورهای آن انجام می‌گردد. این چرخه آن‌قدر ادامه پیدا می‌کند تا تمامی سرورها و شبکه‌های موجود در دامنه‌ی پروژه پوشش داده‌شده و ارزیابی امنیتی و تست نفوذ کامل گردد.

۱-۴ ارائه‌ی گزارش و مستندات

در این مرحله تمامی موارد موجود در فازهای پیشین پروژه از شناسایی گرفته تا نفوذ و پاک‌سازی ردپاها همه و همه مستند شده و در گزارشی کامل در اختیار کارفرما قرار خواهد گرد. این گزارش خروجی تمامی تلاش‌های تیم ارزیاب در نفوذ و ارزیابی امنیتی سرورها و شبکه‌ی سازمان خواهد بود. کارفرما در این گزارش از تمام اطلاعاتی که تیم ارزیاب دارند باخبر شده و شناخت خود را نسبت به دارایی‌های سایبری سازمان خود و همچنین تهدیدات و آسیب‌پذیری‌های آن افزایش خواهد داد.

۱-۵ ارائه‌ی راهکار و ممیزی

در این بخش مستند دوم به کارفرما ارائه خواهد شد. حال که نسبت به دارایی‌ها و آسیب‌پذیری‌های هر کدام شناخت به عمل آمد، مستند دوم به مشتری کمک خواهد کرد که هر کدام از تهدیدات را چگونه خنثی کرده و آسیب‌پذیری را از میان بردارد.
همچنین پس از اعمال موارد موجود در مستند راه‌کارها تیم ارزیاب به ممیزی موارد پرداخته تا مطمئن گردد موارد آسیب‌پذیری به درستی و به صورت استاندارد اصلاح‌شده‌اند.
پس از طی موفقیت‌آمیز تمامی مراحل ، تأییدیه‌ی امنیتی به کارفرما داده خواهد شد و تضمین نفوذ‌ناپذیری با درصد معینی به او داده خواهد شد.

۲ جمع‌بندی و خلاصه

در این مستند مراحل کار و جریان عملیاتی آزمون‌های نفوذ و ارزیابی امنیتی به طور کلی آورده شده و درعین‌حال از جزئیات صرف‌نظر شده است چراکه ارائه‌ی جزئیات در هر گام به مستندی چند صد صفحه‌ای خواهد انجامید که از حوصله‌ی این بحث خارج است. اما به هر صورت به این نکته دقت گردد که هر کدام از فازها و مراحل ارائه‌شده در این مستند خود شامل ده‌ها و یا صدها ریز مرحله بوده که تیم ارزیاب تمامی آن‌ها را جهت تکمیل فرآیند طی ‌می‌کند.