السلام عليكم ورحمة الله وبركاته
مصدر الإزعاج في "ثغرات" الـ Path Disclosure ( ثغرات كشف المسار) أنها تقوم بكشف اسم "اليوزر" الخاص بموقعك.
الامر الآخر أنها تقوم بتحديد المسار الصحيح إلى مجلداتك حيث يمكن استخدام هذا المسار مع ثغرات أخرى لإلحاق اذى أكبر في موقعك.
ورغم أن هذين الأمرين - اسم المستخدم، والمسار- لا يشكلان خطورة مباشرة إلا أنها مصدر إزعاج كبير للكثير من أصحاب المواقع، لأن كشف هذه الأمرين، يعني توفير الكثير من الوقت والجهد على المخترق، فقد قطع نصف الطريق عند معرفته لاسم المستخدم ولم يبق عليه إلا معرفة كلمة السر.
هذه "الثغرة" تحدث أغلب الأوقات بسبب خلل في برامج الـ php مثل الخلل الذي كان في ملف الـ faq.php في نسخة الـ 3.03، ويفترض أنها مفيدة عند التعامل مع "سكربتات" أو برامج غير مستقر لأنه تكشف الملف مصدر الخلل ورقم السطر تحديدا، ولكن وبما أنها تقوم بإظهار معلومات عن السيرفر، تم التعارف على تسميتها "ثغرة".
اضغط على الرابط في الأسفل لمشاهدة ما ينتج عن هذه "الثغرة" إن صح التعبير.
http://www.instantjv.com/affiliates.php
في هذه الحالة، من الواضح أن اسم الـيوزر هو: instantj والمسار الكامل هو: home/instantj/public_html/
إذا كنت تستخدم برنامج مستقر مثل الـ في بي، بإمكانك منع رسالة الخطأ من الظهور وذلك من خلال وضع هذه السطر في أي ملف htaccess عادي داخل المجلد الرئيسي لموقعك.
إذا كنت تستخدم "ملف حماية المنتديات" أو ملف htaccess آخر، بإمكانك تحرير الملف ووضع السطر في أسفله.
الآن، يفترض ان تكون رسالة الخطأ هذه انتهت وإلى الأبد.كود PHP:php_flag display_errors Off
الرجاء الانتباه إلى أن استخدام هذه الطريقة في الحماية يعني حرمانك من رؤية رسائل الخطأ، خصوصا إذا كنت تقوم بتركيب برنامج أو ملف لأول مرة.
التقدير يرجع لك وحدك فقط في مثل هذه الحالات.
-------------------------------------------------------------------------انتهى.
للتعرف على بعض الإعدادات الأمنية المهمة للسيرفر المستضيف لموقعك، اتبع الآتي:
قم بعمل ملف نصي عادي على جهازك ووضع هذا الكود بداخله:
الآن قم بحفظ الملف النصي بالاسم الذي تريده، ومن ثم رفعه إلى موقعك.كود PHP:<?
phpinfo();
?>
قم بتغيير الامتداد الخاص بالملف من .txt إلى .php
الآن قم باستدعاء الملف من خلال المتصفح لديك وذلك بطلب الاسم الذي اخترته وامتداد الـ .php
سيعرض لك هذا الملف إعدادت الـ php وبعض إعدادات الأباتشي المهمة.
إبحث عن التالي:
من قسم الـ apache ابحث عن هذا الـ module:
mod_security
إذا لم تجده ابحث عنه في جميع الصفحة احتياطاً
إذا لم تجده، عاهد نفسك الآن وقبل أن تكمل قراءة هذا الموضوع أن تقوم بتغيير الهوست الخاص بك إلا أن يقوم بتركيبه. لماذا؟
لان هذا module من أروع وأفضل طرق الحماية للسيرفرات، حيث أنه يحمي من عملية حقن تعليمات الـ sql وكذلك يحمي من ثغرات الأباتشي، والسي جي آي، والـ php وثغرات الـ XSS .
أيضا يحمي من الثغرات التي يتم تنفيذها من خلال الروابط، والثغرات التي يتم تنفيذها من خلال عملية إرسال الفورمز، وغير ذلك عدد هائل من الثغرات.
عملية تركيبه لا تستغرق ثلاث دقائق ولا يتعارض مع أي برنامج أخر، ويمكن التحكم في إعداداته للسيرفر ككل أو لموقع محدد على السيرفر.
سأقوم بإذن الله في وقت لاحق بكتابة موضوع متكامل مع طرق الحماية باستخدام هذا الـ module الرائع.
بالتوفيق
رد مع اقتباس
المشاركة الأصلية كتبت بواسطة amn4arab
