النتائج 1 إلى 15 من 15

الموضوع: ثغرات أمنية تفتحها بنفسك في موقعك فانتبه

  1. #1

    تاريخ التسجيل
    Apr 2001
    المشاركات
    1,897

    ثغرات أمنية تفتحها بنفسك في موقعك فانتبه



    السلام عليكم و رحمة الله و بركاته

    أحد الأمثال الشائعة مايقول : الجاهل عدو نفسه .
    و هذا يعني أن الإنسان الجاهل قد يضر نفسه بجهله و ليس بقصده ..

    و هذا هو الحال في نسبة كبيرة من شبكات و مواقع الإنترنت العربية .
    و طبعا الجهل ليس عيباً لدى أي منا ، فلا أحد منا وُلِدَ عالماً و كلنا نتعلم حتى آخر لحظة من حياتنا ..
    ولكن للجهل أنواع أخرى كثيرة ، منها على سبيل المثال التهور و التسرع و افتراض حُسن النية لدى الآخرين ، و كذلك افتراض العلم لدى الآخرين ..
    فليس كل مَن ابتكر سكريبت عالِماً و ليس كل مَن ترجم سكريبت عالماً ..
    ومن هذا المنطلق اقتضى الحذر في كل خطوة تـُقدِم بها في موقعك على الإنترنت ..

    كمية كبيرة جداً من السكريبتات يتم طرحها يومياً و منها ما قد يُثير الإعجاب ما يدفعك فوراً إلى أخذه خصوصا إذا كان مجانياً ، ثم تقوم بتركيبه في موقعك لتتفاجأ أن موقعك تم السيطرة عليه بعد فترة قد تزيد أو تقصر و لاتعرف السبب و تبدأ بالبحث هنا و هناك و تتهم برنامج المنتدى مثلاً أو المجلة بأنها ضعيفة الحماية ، أو تتهم المستضيف أن سيرفره ليس فيه حماية كافية ، أو قد تنتقل بك الشكوك لأصدقائك الذين تأتمنهم بكلمات مرور موقعك و إلى ماهنالك من الظنون و الشكوك ..
    و مع الأسف كل هذه الشكوك غير صحيحة فأنت بنفسك قمت بفتح ثغرة كبيرة تسمح لقافلة من الإبل بدخولها و تخريب كل شيء ...
    و لامسؤولية هنا تقع على السيرفر أو المستضيف أو برنامج المنتدى أو المجلة أو برنامج البطاقات أو غيرها ...

    أمثلة عن الثغرات التي قد تفتحها دون أن تدري :

    1 - سكريبت لتركيب النسخ الاحتياطية لقاعدة البيانات ..
    مثل هذه السكريبتات كثيرة في الإنترنت و أغلبها مجاني و الكثيرون يرفعونها للسيرفر و يقوم بوضعها في مجلد باسم مجهول لايمكن تخمينه مثل : yourdmoan.com/12dfft66e4e432sss
    و تفترض أنه لاأحد يستطيع اكتشاف هذا المجلد في سيرفرك و لن يستطيع التحكم بموقعك إذا دخل إليه ..

    ولكن غاب عن علمك أن هناك برامج صغيرة جداً يتم تركيبها في الجهاز يستطيع مستخدمها استعراض كافة ملفاتك في السيرفر و كشف شجرة الملفات و المجلدات بأسمائها و تراخيصها ..
    و بذلك يستطيع أي شخص حتى لو كان من المبتدئين معرفة اسم هذا المجلد yourdmoan.com/12dfft66e4e432sss و معرفة الملفات الموجودة داخله فيدخل بواسطة المتصفح و يحذف لك كل قواعد البيانات ..

    2 - سكريبتات لتحميل الملفات للسيرفر للجميع ..
    أغلب هذه السكريبتات ثغرات كبيرة تسمح بتدمير أكثر المواقع أو السيرفرات حصانة و بكل بساطة .

    3 - بعض البلوكات أو الموديلز لمجلة نيوك فيها ثغرات تسمح بالسيطرة على الموقع مثل 4image ..

    4 - بعض الهاكات للمنتديات تفتح ثغرات كثيرة ..

    و الأمثلة كثيرة ، فأنصح الجميع دائماً و أبداً بالحذر في تركيب أي شيء مهما كان ضرورياً لك و اتجه لاستشارة الاختصاصيين قبل أي تصرف تبغي القيام به ؟

    كما أرجو يكون هذا الموضوع للتنبيه أولاً للنسبة الغالبة من المستخدمين ..
    و في نفس الوقت أرجو من كل عضو يعرف سكريبت أو برنامج أو بلوك أو موديلز أو غيره فيه ثغرة أن يضع اسم السكريبت هنا للتحذير من استخدامه أمنياً ...

    والسلام عليكم و رحمة الله و بركاته .
    عماد الدين





    __________________
    الحمد لله على كل حال




  2. شكرا لك اخوي العزيز


    تحياتي لك و بارك الله فيك





    __________________
    سبحان الله وبحمده
    > "كتبي، لعلها تفيدك!" *جديد
    > "مدونتي، تصويري.." | LaZqA
    > Twitter

  3. #3
    عضو نشيط جدا
    تاريخ التسجيل
    May 2004
    المشاركات
    318


    السلام عليكم ورحمة الله

    بالفعل يوجد تهاون لدى الكثيرين من هذه الناحية ..فتجد ان اخر ما يفكر فيه هو امن وحماية موقعه او سيرفره وقد يحدث خطأ بسيط او ثغرة في سكريبت تؤدي لاختراق السيرفر بأكمله ..

    وحبيت اضيف نصيحة بسيطة لأي صاحب موقع او سيرفر لديه سكريبت او برنامج يقوم بالتحميل على موقعه باي طريقة كانت سواء كانت هذه البرامج :

    >> مراكز التحميل المجانية المنتشرة بسوالف ومواقع السكريبتات .

    >> سكريبتات 4images و Vcard .

    >> المنتديات التي تستخدم نظام الفولدرات لتخزين المرفقات .

    >> اي برمجة خاصة تسمح بالتحميل .

    اذا كان لديك اي نوع من الأنواع السابقة فكنصيحة مبدئية قم بمعرفة اسم الفولدر الذي يتم تحميل الملفات فيه

    مثال في 4images غالبا يكون اسم الفولدر Data .... وفي سكريبتات التحميل يكون اسمع عادة pic او pics او upload او غيره من الاسماء ...

    المهم ..قم بعمل باضافة السطر التالي لملف .htaccess الخاص بهذا الفولدر واذا لم تجد الملف قم بعمله وتمسيته باسم .htaccess وقم برفعه لفولدر التحميل

    كود:
    php_flag engine off
    
    Options All -Indexes
    
    RemoveType .php .php3 .phtml .pl .cgi
    السطور السابقة تمنع تنفيذ اوامر اي ملف من النوعيات السابقة حتى ولو تم تحميله على موقعك عن طريق ثغرة ..

    كما انها تمنع تصفح فولدرات موقعك في حال انك نسيت رفع ملف اندكس وكانت الحالة الافتراضية للسيرفر هي عرض الفولدرات في المتصفح ...

    واريد الاشارة الى انه قد يتم اكتشاف ثغرة في البي اتش بي نفسها في اي لحظة وتكون ملايين المواقع مهددة بالاختراق فهذا الحل يضمن لك مبدئيا الحماية .. و طبعا لا يوجد حماية 100% لاي سيرفر ..

    اضافة اخيرة : ننصح اصحاب السيرفرات باغلاق اوامر الشيل تماما من السيرفر مثل اوامر ال Excute وتصفح الفولدرات ..

    تمنياتنا للجميع بمواقع امنة ... ووعي جيد بطرق حماية مواقعنا

    شكرا لك اخي عماد الدين على الموضوع الرائع والمهم ...






  4. #4
    عضو فعال جدا
    تاريخ التسجيل
    Jun 2003
    المشاركات
    2,123


    جزاك الله خير ..





    __________________
    htaccess بكل بساطة

    الشفرة الموحدة "يونِكود"

    (إن من مفاسد هذه الحضارة أنها تسمي الاحتيال ذكاءً، والانحلال حرية، و"الرذيلة فناً" والاستغلال معونة) - مصطفى السباعي

  5. #5
    عضو نشيط جدا
    تاريخ التسجيل
    May 2004
    المشاركات
    355


    الله يجزاك خير

    فعلا كثير من الناس يتجاهل هالموضوع





    __________________
    وما أكثر الأصحاب حين تعدهم

    ولكنهم عند النائبات قليل

  6. #6

    تاريخ التسجيل
    Feb 2003
    المشاركات
    3,094


    الله ينور عليك





    __________________
    قل لمن يحمل هما .. بأن همه لن يدوم
    فكما تفنى السعادة .. هكذا تفنى الهموم

  7. #7
    Banned
    تاريخ التسجيل
    Dec 2000
    المشاركات
    686


    الله يجزاك خير ويبارك فيك

    انا استخدم سكربت 4images

    هل لو قمت بعمل جدار ناري على مجلد data سيضمن حماية للموقع؟ وبالاخص ان لا يفتح على ثغره من هذا السكربت؟

    ولكم جزيل الشكر ,,






  8. #8
    عضو نشيط جدا
    تاريخ التسجيل
    May 2004
    المشاركات
    355


    مهم جدا تستخدم لكل سكربت على موقعك قاعدة بيانات مستقلة

    عشان تحمي بياناتك لو فيه ثغرة في أحد هالسكربتات





    __________________
    وما أكثر الأصحاب حين تعدهم

    ولكنهم عند النائبات قليل

  9. #9
    مُجَاهِد سابقاً
    تاريخ التسجيل
    Apr 2004
    المشاركات
    12,000


    جزاك الله خير اخي الكريم "عماد" ..





    __________________
    استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور

  10. #10


    فعلا اخوى عماد كلامك 100 % لأن كثيرا منا يجري وراء المجاني للأسف

    وفى الأخير كويس اننا قرأنا حاجة حلوة لك لأنك مختفى منذو فترة ربي يوفقك اخوي عماد





    __________________
    كلمتان خفيفتان على اللسان ثقيلتان فى الميزان

    سبحان الله وبحمدة & سبحان الله العظيم

  11. #11


    مشكور اخوي alkahf علي النصائح القيمه

    لكن في شغله للفتت انتباهي وهي

    ولكن غاب عن علمك أن هناك برامج صغيرة جداً يتم تركيبها في الجهاز يستطيع مستخدمها استعراض كافة ملفاتك في السيرفر و كشف شجرة الملفات و المجلدات بأسمائها و تراخيصها ..
    يكشف اسماء الجلدات ويعرض جميع الملفات وعرفناها
    لكن قلت يعرف تراخيصها !!!!

    قلنا عرف المخترق التراخيص للجميع المجلدات ... شراح يقدر يسوي !!!

    ياليت ترد علي الاستفسار هذا اذا فيه اي خطوره علي مجلداتنا حيث انه مهم جدا جدا

    شاكرلك





    __________________
    =-=-=-=-=-=-=-=
    (العضويه يستخدمها الاخ العزيز سعودي نوكيا)

    نخبة المواقع - العاب - عالم حواء

  12. #12
    عضو فعال
    تاريخ التسجيل
    Feb 2002
    المشاركات
    1,294


    أخي على طاري الثغرات هل هناك موقع يقوم بفحص المواقع ويعطي تقريراً بالثغرات أم لا؟






  13. #13
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2005
    المشاركات
    2,739


    استاذى الكهف موضوع ممتاز وفعلا تم اختراق سيرفر كامل من برنامج Vcard

    +++++++++++++++خارج الموضوع +++++++++++++++++++
    استاذى عماد الدين هل انت مصرى





    __________________
    شبكة حلم العرب لتطوير المواقع
    PHP-NUKE: Web Portal System
    www.aradream.com/servics
    www.aradream.com/portal
    www.aradream.com/forums
    العنوان : ج.م.ع الشرقيه فاقوس شارع السيد حسين - كاسبر نت

  14. #14
    عضو نشيط
    تاريخ التسجيل
    Feb 2004
    المشاركات
    241


    شكرا لك





    __________________
    سبحان الله وبحمده سبحان الله العظيم

    أكبر دليل عربي لمواقع الجرافكس ولغات البرمجة

  15. #15
    مُجَاهِد سابقاً
    تاريخ التسجيل
    Apr 2004
    المشاركات
    12,000


    اقتباس المشاركة الأصلية كتبت بواسطة Mr.Dosa
    +++++++++++++++خارج الموضوع +++++++++++++++++++
    استاذى عماد الدين هل انت مصرى
    تابع هذا الموضوع ..
    http://www.swalif.net/softs/showthread.php?t=140472





    __________________
    استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض