هل هناك طريقة لإيقاف هجمات XSS على المواقع المستضافة؟
سمعت أن استخدام mod_security مع قوانين معينة يمنع عملية الاختراق، فهل هذا صحيح؟
أرجو الحصول على بعض التفصيل إن أمكن، لأهمية الموضوع
الواثب
هل هناك طريقة لإيقاف هجمات XSS على المواقع المستضافة؟
سمعت أن استخدام mod_security مع قوانين معينة يمنع عملية الاختراق، فهل هذا صحيح؟
أرجو الحصول على بعض التفصيل إن أمكن، لأهمية الموضوع
الواثب
عزيزي الحل الوحيد هو المود سكيورتي + الغاء الجلوبال رجستري
و مثل منت عارف الهجمات الخاصة بال xss تتم عن طريق ثغرات بالبرمجة لذلك انصحك تعطل الجلوبل رجستري من ملف php.ini
و ابحث عن قيمة global_reg راح تحصلها on خليها على off
و استخدم قانون بالمود سكيورتي يمنع هجمات ال xss تحصل هل قوانين مع قوانين الاخ بوعيسى الي نزلهم قبل فترة بسوالف
طيب، كل ماذكرته ممتاز، وقد قمت بعمله
لكن المشكلة أن global_register يمكن تفعيله من قبل المستخدمين على السيرفر بواسطة htaccess ، كما أن بعض السكربتات مثل awbs و osCommerce تتطلب تفعيله
ما رأيك؟
الواثب
اوكي في اكثر من حل لها و ابسط شي انك تحول مشغل ال php بحيث يشتغل على خاصية phpsuexec
كابسط مثال للمشكلة
و مثل ما انت قلت حتى المود سكيورتي الواحد يقدر يعطلة من ملف .htaccess
لاكن في خيار لازم تدخلة بشكل يدوي بحيث انة يتجاهل اوامر ايقاف المود سكيورتي
و اذا تبي احد يحل لك مشاكل السكيورتي هذي ممكن نساعدك فيها اضن انت ضايفني مسنجر اذا ما كنت غلطان
للملاحظة فقط: اخر اصدار من AWBS تم تعديله ليعمل بدون مشاكل مع ايقاف register_globalsالمشاركة الأصلية كتبت بواسطة الواثب
__________________
mostafa.ab4 [@] gmail.com
صحيح وسام شفت الثغرة الجديدة قبل شوي كتبت عنها حط بالك منها انا قبل شوي حدثت و كل شي تمام
و الحين الواحد يرتاح لا يعدل شي بالسيرفر عشان سكربت واحد