الحل الصحيح للمجلدات المصرحه بـ 777

[العندليب]

السلام عليكم ورحمة الله وبركاته

أخواني الأعضاء في سوالف سوفت
لاحظت أن الأغلبيه يستخدم سكربتات لرفع الملفات في موقعه وهذه السكربتات كثيره منها ماهو أمن ومنها ماهو غير أمن ، وهذه السكربتات تشترط منك ياصاحب الموقع أن تقوم بعمل تصريح 777 او تصريح 707 لمجلد معين وهذه التصاريح تسمح لزوار موقعك بالكتابه في المجلد الذي قمت أنت بتصريحه.
الخطوره هنا من ملفات الـ php لأنها تحتوي على تعليمات برمجيه يتم تنفيذها داخل خادم الموقع .
فلو قام أحد الأطفال المخترقين من رفع ملف php إلى الخادم بأي ثغرة كانت فسوف يبحث عن المجلدات ذات تصريح 777 أو 707 لأن صلاحياته صلاحيات زائر وحين يجد هذه المجلدات فسوف يستخدمها كمعسكر لملفاته وسكربتاته مثل : PHPShell ، MySQLInterface ............. الخ بعدها سيصل إلى ملفات موقعك وبعدها أنت تعلم ماذا سيفعل

إذن ما الحل الصحيح لهذه المجلدات !؟!؟

الحل طبعاً بتعطيل تنفيذ الـ php داخل هذه المجلدات عن طريق تعليمه تضيفها في ملف الـ .htaccess وهي :

كود PHP:

php_flag engine off 


بعدها تقوم برفع ملف الـ .htaccess الى كل المجلدات ذات تصريح 777 .

وللتجربه قم برفع اي سكربت php للمجلدات ذات التصاريح 777 والتي تحتوي على الـ htaccess وقم بالدخول على هذا السكربت وشاهد النتيجه .
سوف تجد أن السكربت لم يقم الخادم بتنفيذه

ملف .htaccess مرفق

[pop4wali]

جارى التجربه وباذن الله تكون النتيجه فعاله
شكرا لك يا عندليب على عطائك المستمر

[محمود المسعودي]

جزاك الله كل خير يالعندليب .. تم إرسال نسخة الى قسم تطوير المواقع لاهمية الموضوع و لانه يهم اصحاب المواقع ايضاً ...

[الجياش]

جزاك الله خيرا

ولكن على حد علمي .. ان الشل ليس كله بامتداد php هناك امتدادات اخرى يمكن ان يستفيد منها

[العندليب]

العفو ياطيبين وشاكر مروركم

بالنسبه لاستفسارك يا أخي الجياش عن أن هناك امتدادات اخرى يمكن الاستفاده منها فحاول أن تدقق في كلامي بالموضوع حيث ذكرت ( الحل طبعاً بتعطيل تنفيذ الـ php داخل هذه المجلدات )

أي امتداد يتعلق بتنفيذ الـ php لن يعمل

أخونا المشرف ابو محمود
بارك الله بيك يا أخي والله يعيننا على الرد هنا وهناك

[mega]

تسلم والله على موضوعك

بارك الله لك بعلمك وزادك من فضله

وجارى التجربه :nice:

[لووول هوست]

بطل

والله انك بطل مشكور

[الجياش]

جميل جداا اخي العندليب .. لم انتبه لذلك

يعني هذا انه سيمنع كل الاوامر للphp ولن تعمل ابداا حتى لو كان الشل بأمتداد shell.php.rar او shell.php3

[اسير الحب]

جزاك الله الف خير

[السيد الموسوي]

السلام عليكم

شكراً لك

[البترولي]

جزاك الله خير اخوي

لكن عندي استفسار الله يرضى عليك

ابي اعرف الملفات اللي عندي اللي حاط عليه هذا التصريح اما بازالة التصريح او تنفيذ الامر اللي تفضلت مشكور بوضعها لنا ..

[Dohacom]

بارك الله لك بعلمك وزادك من فضله


وانا لدي استفسار بسيط ينفع اركبه على البوم الصور 4images لان اكثر ملفاته لازم تعطيها تصاريح 777

[FaraS]

السلام عليكم ورحمة الله
الاخ الفاضل :- العندليب
دائماَ استاذي الكريم له بصمة رائعه و حلول تفيد بها أصحاب المواقع قبل مستخدمي الشبكة ..
جزاك الله خيراَ ... على ما تقدمه ..

تمت التجربة بنجاح ...
نطبق من بعدك و عيوننا مغمضه

[عصوووم]

السلام عليكم..

اخوي العندليب يقولك الكبير يفضل كبير...ماشاء الله تبارك الله

والله حل جبار فك ازمة الخوف على الموقع كامل بسبب مركز التحميل او اي مجلد يحمل التصريح 777...

طبقته على المركز عندي....وحمدالله ارتحت الحين من اي ملف شل باي امتداد كان جديد ينرفع عندي...

جزاك ربي الف خير وصراحه موضوع مهم جداً....عساك على القوه يارب ولا عدمناك يالغالي

[الدليل]

أنت تلومني يوم انك تغيب وأسأل عنك



لا هنت يالذيب


ورحم الله والديك