النتائج 1 إلى 14 من 14

الموضوع: أمن المعلومات (حلقة مناقشة )-(1).

  1. #1
    عضو نشيط
    تاريخ التسجيل
    Mar 2003
    المشاركات
    167

    أمن المعلومات (حلقة مناقشة )-(1).



    السلام عليكم ورحمة الله وبركاته...

    في الحقيقة انني ترردت كثيرا في طرح هذا الموضوع لكوني على عجل وفي شغل ... ونسأل الله ان يجعله في طاعته وأن يرزقنا وأن يهبنا الإخلاص له في جميع الأعمال والأقوال ...
    لكني لمست الحاجة إليه فارتئيت أن أجعلها حلقات نقاش بدلا من تسميتها "دروس" لأني اقل من أن اعطي دروسا ... ثم ايضا لأني لا اريد الإلتزام بتقديم سلسلة قد لا تسمح ضروفي بإتمامها ...
    لكن كما يقال " مالا يدرك كله لا يترك جله "...

    فبسم الله وبه أستعين ولا حول ولا قوة إلا بالله العلي العظيم , اللهم إنا نسألك السداد في القول والعمل ونعتصم بك من الزلل والخلل.

    مقدمة :-

    من المؤلم جدا والمؤسف ان تكتشف بعد اكمالك لبرمجة شفرة برمجية لغرض معين بهدف عرضها او توفير او تفعيلها على الشبكة الإلكترونية ان المقطوعة التي قمت ببرمجتها تشكل خطرا يهدد ليس فقط موقعك بل والخادم المستضيف لموقعك بكافة محتوياته ...!.
    لك ان تتخيل انك كنت - لا قدر الله - سببا في دمار الخادم المستضيف او كنت بوابة لإختراق كافة المواقع المستضافة عليه بما قد تحتويه من معلومات "خاصة" او "مهمة" ... بما فيها موقعك.!
    إنه موقف تخيله جعلني - عندما قررت نشر موقعي على الشبكة - التفكير مرات وكرات وتأخير قرار نشره ...إلى أجل غير مسمى ...!نعم ...غير مسمى ...! حتى اقوم بقراءة كل ما استطيع قراءته حول ثغرات المواقع ... والأخطاء البرمجية القاتله ... وأمن الشيفرات "ان صحت ترجمتي للscripts " .

    فهل ترى الأمر يستحق ؟!.

    حلقات النقاش :-(1)
    أمور متعلقة بقواعد البيانات.

    برأيكم ما هي الخطوة الأولى والمهمة في حماية قاعدة البيانات ؟!

    من خلال قراءتي استخلصت أن أهم الأشياء التي قد يغفل عنها المرء هي مسالة "صلاحيات المستخدم لقاعدة البيانات " ...

    فهل سالت نفسك ذات مره ما هي الصلاحيات التي سيحتاجها أعضاء موقعك- المسجلون فيه - ...وما هي الصلاحيات الموهوبة للحساب الذي ستجعل بإمكانهم استعماله في الإتصال بقاعدة البيانات ؟!

    لعلك اعتدت اختيار كافة الصلاحيات " All Previlages " ؟!... لا شك أنها أسهل فهي لا تحتاك لأدنى تفكير او توقف ... ولا تحتاج حتى لمزيد نقرات من فأرتك الأنيقة!.

    لكن لك أن تتخيل ان احدهم قد قرر أن يعبث - لأي سبب - بموقعك - وبأعصابك أيضا - فنفذ أمرا كالتالي :-
    كود:
    DROP DATABASE `your-site-date-base`;
    ما رأيك ؟!... هل سيفلح في ان يسبب لك بعض الصداع ؟!...

    ولك أن تتخيل ما سوى ذلك .

    ما هي الوسيلة المثلى والآمنة في الإتصال بقاعدة البيانات ؟!.

    مما استفدته أيضا من خلال قراءتي أن ثمة أمور لا بد من مراعاتها حين الإتصال بقواعد البيانات اهمها على عجل :-

    1- ما يتعلق بالملف المحتوي على معلومات الإتصال :-
    ::. الإمتداد :-
    ربما راقت لك طريقة البعض بإعطائه هذا الإمتداد لملف التحكم في الإتصال "*.inc" قد تشعر في بادئ الأمر أن ذلك نوعا من الإحتراف - كما كنت أظن للأسف - .
    الآن ارفع ايا ملف شئت وليكن ملف ال"config" الذي به معلومات الإتصال بقاعدة البيانات خاصتك .وضعه في أي مجلد شئت ... ثم اكتب في المستعرض ما يلي :-

    كود:
    http://www.your-site.*/path/config.inc


    يا للهول ... أرأيت !!!. هذا ما يمكن أن يخلفه جعله إمتداد الملف كهذا.
    لكن لا عليك ... الآن وبأسرع وقت غير هذا الإمتداد السيء - على الأقل في عرفي - واستبدله بإمتداد المفات الأكثر مودة في نفسك هل عرفته ... بالتأكيد إنه "*.php".
    الآن جرب نفس الخطوة...وادع لي ..

    ::. الموقع " الطريق ""Path".
    ينصح الخبراء بحفظ هذا الملف خارج المجلد الجذري للموقع ... أي بمعنى خارج مجلد "public_html" .. ذلك لان حفظه في هذا الموقع سيجعل عرضه للقراصة أمر غير ممكن ... إذ ان ما يتم حفظه خارج هذا المجلد الجذري للموقع فلن يتمكن احد من استعراضه ...
    جرب بنفسك ..


    ================

    اعتذر عن الإطالة ... وأعتذر عن عدم التفصيل أكثر ... لكوني اريد من الإخوة الكرام ان يقرؤا ... ويستفيدا ويفيدونا ...

    ================

    اعتذر عن اي خطأ - فهو غير مقصود بلاشك - واطلب من الإخوة الخبراء المشاركة بأي تصحيح لأي شيء مما ورد ...

    هذا والله أعلم وأحكم .

    ولا تنسونا من صالح الدعاء.(هو فيء هذه الحلقات).
    والسلام عليكم ورحمة الله وبركاته

    أبو عبد الرحمن





    __________________
    لاإله إلا الله ... اللهم صل على عبدك وسولك محمد.

    الأسواق الحرة

    اللهم شاف والدي من داء السرطان وجميع مرضى المسلمين. آمين


  2. #2
    عضو نشيط جدا
    تاريخ التسجيل
    Dec 2004
    المشاركات
    568


    بارك الله فيك
    شكلة كدة موضوع هايبقى تمام التمام وبداية فعلا موفقة
    اتوقعلك التثبيت قريباً
    بالتوفيق انشاء الله واتمنى كتابة المزيد مثل هذة المواضيع :nice:






  3. #3
    عضو نشيط
    تاريخ التسجيل
    Aug 2004
    المشاركات
    69


    ان اخطر الامور التى تواجه مبرمجين الويب عامه هى خطر الاختراق نتيجه وجود بعض الثغرات الموجوده فى برمجياتهم

    ومن اشهر هذه الاخطار الـــ SQL INJECTION

    ولابد كمبرمجين ان نتبع بعض الخطوات لزياده حمايه الاسكريبتات الخاصه بنا

    1- ان نهتم بتصاريح الملفات وامتدادتها , فملف امتداده .inc كما ذكرت مع تصريح 777 يمثل كارثه , اذ انه يمكن تحميله بكل سهوله عن طريق المتصفح ...

    2- الصلاحيات كما ذكرت , لابد ان نقوم بتحديدها ولا نعطى الاسكريبت كافه الصلاحيات الا فى اقصى الحالات

    3- الاهتمام بالمتغيرات وهنا اقولها مره واثنان والف , فالمتغيرات تعتبر سلاح ذو حدين , واستخدام المتغيرات العامه بكثره قد تتسبب وجود ثغرات , ولذلك انصح مبرمجين الــ PHP بعدم الاعتماد على ال Register Globals بكثره واستخدام الدوال المختصه لاستقبال المتغيرات ...

    4- اصطياد الاخطاء وعدم اظهارها بشكلها الحقيقى يزيد من عمليه الحمايه , دائما الافضل ان نكبح الخطأ امام الزوار ,,

    5- التأكد من الجهه التى تأتى منها المتغيرات التى يستخدمها الاسكريبت يزيد من قوه الحمايه

    6- اعاده مراجعه الشفره البرمجيه مره واثنين وثلاثه والافضل ان يكون هناك تعاون بين اكثر من مبرمج فى هذا المجال وان يشتركو فى كتابه الشيفره والمراجعه والتدقيق واكتشاف الاخطاء ..

    والكثير والكثير من الخطوات التى يكتسبها المبرمج مع الخبره ومن الاضطلاع على مواقع السيكيورتى العالميه

    والله يحمينا ويحميكم اخطار الاختراق





    __________________
    PHP + FLASH + DESIGNS
    arabshost(at)hotmail.com

  4. #4
    عضو نشيط
    تاريخ التسجيل
    Mar 2003
    المشاركات
    167


    الأخ Data4arab
    وفيك بارك الله ...
    ونسأل الله التمام والكمال عزيز ...
    وأشكر لك تسجيل حضورك وإطراءك ...
    وجزاك الله خيرا.

    الأخ arabshost.
    لقد ذكرت بعض الأمور إجمالا وهذا غير مفيد للإخوة المبتدئين ... والهدف من حلقات النقاش هو التبسيط والتفصيل ... بحيث يستفيد المبتدء ويزداد المحترف علما ... ومذاكرة.وكم كنت اتمنى ان يكون لك إضافات على ما ذكر ... او ان تفصل فيما ذكرت أكثر ليتجلى للجميع و لتفيدنا جزاك الله خيرا... حتى يكون الموضوع متسلسا ... مفصلا

    ولي كلام على الطرق التي ذكرت ... إن شاء الله ... لكن بشكل غير معتاد بإذن الله - حيث سأجعله بإذن الله غاية في الوضوح والتسلسل المنطقي - ... والله وحده المسؤول العون والتيسير والهدى والتسديد ...

    وشكرا لك استاذنا الكريم.

    ابو عبد الرحمن





    __________________
    لاإله إلا الله ... اللهم صل على عبدك وسولك محمد.

    الأسواق الحرة

    اللهم شاف والدي من داء السرطان وجميع مرضى المسلمين. آمين

  5. #5
    عضو فعال جدا
    تاريخ التسجيل
    Dec 2004
    المشاركات
    4,037


    موضوع هام جدا وبداية موفقة منك .. لكن أتمنى ألا تكسل وتتوقف .. فهذا الموضوع حيوي ويحتاج إلى إضاءة على كل جوانبه واحتمالاته ..
    شكرا لك





    __________________
    ....
    محمد حسام
    انترنت بلس

  6. #6
    عضو فعال جدا
    تاريخ التسجيل
    Sep 2001
    المشاركات
    3,680


    موضوع مميز و هام ... لكن يحتاج الى شرح بتوسع اكثر حتى تشمل الافادة كل من المبتدئين و المحترفين كما ذكرت ...





    __________________
    الحالة في سوالف : غير نشط


    لاَ اِلَهَ اِلاَّ اَنْتَ سُبْحَانَكَ اِنِّي كُنْتُ مِنَ الظَّالِمِينَ

    الألفاظ هي الثياب التي ترتديها أفكارنا، لذا ..يجب ألا تظهر أفكارنا في ثياب رثة بالية

  7. #7
    عضو نشيط
    تاريخ التسجيل
    Mar 2003
    المشاركات
    167


    استاذنا الكريم انترنت بلس ...

    شكرا جزيلا لك ولو اني عتبان عليك شوي ... اكيد عرفت ليش .
    جزاك الله خيرا على كلماتك الجميلة والمشجعة ... وربنا يعين وييسر لإتمام الموضوع وإفادة الإخوة ورد الجميل لهذا المنتدى المبارك ...

    ابو محمود ...
    أشكر لك مرورك ... والتوسع مطلوب لكن فضلت التركيز على اللب والإختصار وإبقاء مساحة لتنشيط قدرات القراءة عند الشباب ... ..لابد بعد هم يتحملون معنا شوي ... عشان ترسخ معلوماتهم ...
    مع ذلك سأحاول ان اقدم لهم المهم والضروري قدر الإمكان وعلى حسب معلوماتي القليلة ...

    شكرا لك مرة أخرى.





    __________________
    لاإله إلا الله ... اللهم صل على عبدك وسولك محمد.

    الأسواق الحرة

    اللهم شاف والدي من داء السرطان وجميع مرضى المسلمين. آمين

  8. #8
    عضو فعال جدا
    تاريخ التسجيل
    Dec 2004
    المشاركات
    4,037


    لا والله لا أعلم ياريت تراسلني وتقول لي ليش





    __________________
    ....
    محمد حسام
    انترنت بلس

  9. #9
    خبير سيرفرات لينكس
    تاريخ التسجيل
    Mar 1999
    المشاركات
    4,917


    لنفرض جدلا قدر شخص يخترق الموضوع ويرف ملف شل .
    الان كيف يدخل الى القاعدة
    ايكد راح يبحث عن ملف الكونكشن .
    لكي يقراه
    لو تشفر الملف بالزند قللت جدا خطر انو يقدر يعمل كونكت على القاعدة
    طبعا انت لما تشفر تخطر الزند بان المفات المشفرة لن تعمل سوى مع الملفات المشفرة

    طبعا حتى لو شفر هو ملفة ورفعه مرة اخرى .
    لن يستطيع لان المفات لما تم تشفيرها تم اعطاء ID خاص وتم تشفيرة هو الاخر بين الكود البرمجي اخاص بك ...
    هي ليست خطوة كاملة للحماية ولكن تبقى خطوة....

    وال SQLENg. هاذي مصيبة

    تصور انك تمرر قيمة عدد الى ال SQL وقام المستخدم بالعبث بال URL ولم يتم تمرير العدد في تعلمية ال Where
    شو مصيرك ؟

    تصور انك عم تعمل Include لاسم الصفحة مباشرة من العنوان في المتصفح؟؟؟
    شو برايك الثغرة تكون ؟؟؟


    تصور التالي : ان ملف الكونكشن حافظة مرة TXT على السيرفر وباسم وهمي
    واحدهم قدر يوصل له عن طريق برامج تجريب الاسماء
    شو مصيرك ؟؟؟

    نصور انك معطي صلاحية ال % للوصول الى قاعدة البينات
    وكانت كلمة المرور سهلة وعرفها شخص. الاخير بيتحكم بقاعدة البينات الخاصة بك من جهازة هو بدون لا ملف شل ولا هم يحزنون . ولا حتى phpmyadmin


    والكثير الكثير لدي من الامور ولكن نكتفي بما تم طرحة لنرى ما في جعبة الشباب.


    مع التحية.






  10. #10
    عضو نشيط
    تاريخ التسجيل
    Mar 2003
    المشاركات
    167


    الأخ beshoo ...

    ذكرت امورا كثيرة ... ومتعددة المستويات والمواضع ... وأخشى ان يكون ذلك مشكلا ويزي اللبس على الإ خوة المبتدئين ...

    حبذا لو فصلت لتعم الفائدة ...

    وشكرا لمرورك ..





    __________________
    لاإله إلا الله ... اللهم صل على عبدك وسولك محمد.

    الأسواق الحرة

    اللهم شاف والدي من داء السرطان وجميع مرضى المسلمين. آمين

  11. #11
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2003
    المشاركات
    2,047


    السلام عليكم

    شكرا على الموضوع اخي " الحقيقة و الواقع "

    بالنسبة لقواعد البيانات من اكبر الأخطار التي تتهددها هي الSQL Injection و اكثر الAttacks تتم عبر هذا النوع من الثغرات و مثل ما أشاد الأخوة الكرام يكفي فقط تمرير بعض SQL Cmds مثل UNION, SELECT .. لذلك وجب فلترة الإستعلامات القادمة عبر HTTP Stream إما عن طريق برنامجك الذي قمت ببرمجته او عن طريق برامج خاصة أو فايرولات تم اعدادها خصيصا لأمور مثل هذه على سبيل المثال : Imperva SecureSphere او غيره من databases Firewall
    طبعا هذا خلافا على الحلول الأساسية و هي :
    -1- حماية لوحة التحكم الخاصة بموقعك او الخاصة بالبرنامج الذي تدير به قاعدة بيانات موقعك بكلمتي مرور على الأقل
    -2- استعمال كلمات مرور صعبة مثال : 1q<@s#d4hd4*f و ذلك لكي يصعب تخمينه من الBrute forcer و برامج مخمنات كلمات المرور
    -3- استعمال التشفير و طبعا يجب ان يكون تشفير عالي md5 hashing مثلا و تكون كلمات المرور التي تم تشفيرها مثل ما ذكرنا في النقطة الثانية
    -4- اعطاء الصلاحيات الضرورية فقط للمستخدم و عدم منح اي مستخدم صلاحيات اكثر مما يستعمل
    -5- منع بعض الدوال الخطيرة ( في السيرفرات الlinux مثلا يتم منع : chmod / chown / system / popen .... ) اما في سيرفرات Windows يتم منع استعمال ال cmd.exe او اي برنامج يمكنه تشكيل خطر على النظام و قواعد البيانات

    -6-استعمال الSecure Sockets Layer (SSL) في الإتصال بقواعد البيانات و ذلك لظمان حماية او تشفير البيانات المتبادلة بين البرنامج و قاعدة البيانات ( SSLeay , OpenSSL , ... ) و غيرها ...
    -7- البرمجة : يجب ان تكون برمجتك منطقية التعامل مع البيانات و لا تستعمل في ملفاتك فقط ما يكون ضروري لبرنامجك و يجب تراقب مصادر قدوم المدخلات و المتغيرات + استعمال طرق متقدمة : مثلا عميل يكون بين برنامجك و قاعدة بيانات موقعك ( يقوم هذا اعميل بطرح كل الإستعلامات الممكن قيام بها و تحديد الصلاحيات ... ) و يكون اتصال برنامجك على العميل و ليس على قاعدة البيانات مباشرة (مثلا : الإتصال على ملفات XML / WSDL ...)


    + هذا من ناحية البرنامج / قاعدة البيانات

    اما من ناحية المزود Host platform يجب ان نركز ايضا على الحماية و قد ذكرت في أول الرد لمحة عن Web & databases Firewall و هذه طريقة من طرق الحماية في المزودات

    و

    تعبت من الكتابة
    ارجو اني قدمت الإضافة و الى اللقاء في ردود اخرى ( لي عودة ان شاء الله )





    __________________
    -{Only God Can Judge Me}-
    القانون فوق الجميع و الجميع يموت بالجوع

  12. #12
    عضو نشيط
    تاريخ التسجيل
    Mar 2003
    المشاركات
    167


    الأخ Dr-dre67 ...

    شكرا لتلميحاتك الجميلة والمهمة ... واسال الله ان ييسر طرق كل منها بالتفصيل الغير ممل ...
    شكرا لمرورك وشكرا على شكرك ... وجزاك الله خيرا ...

    ملاحظة ...
    الهدف من الموضوع هو ::. كتابة شفرة برمجية أمنة .:: وهذا يجعل كل ما يتعلق بالسيرفرات وتشفير نقل البيانات خارج الحديث ...

    شكرا للجميع ...مرة أخرى

    أبو عبد الرحمن .





    __________________
    لاإله إلا الله ... اللهم صل على عبدك وسولك محمد.

    الأسواق الحرة

    اللهم شاف والدي من داء السرطان وجميع مرضى المسلمين. آمين

  13. #13
    عضو نشيط جدا
    تاريخ التسجيل
    Feb 2004
    المشاركات
    500


    بالفعل موضوع رائع ومهم



    بارك الله فيك






  14. #14
    عضو نشيط
    تاريخ التسجيل
    Mar 2003
    المشاركات
    167


    الأخ نعمـــــان ...

    مرحبا بك استاذي الكريم ... وفيك بارك الله ...

    شكرا على تأكيدك على أهمية الموضوع ... ونسأل الله ان نقدم ما يفيد إخواننا الكرام ...





    __________________
    لاإله إلا الله ... اللهم صل على عبدك وسولك محمد.

    الأسواق الحرة

    اللهم شاف والدي من داء السرطان وجميع مرضى المسلمين. آمين





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض