 |
السلام عليكم ورحمة الله
زرت موقع الشيخ العمري
http://www.alomarey.net/omari/default.aspx
وتفاجأت باختراق لقواعد بينات الموقع حيث عدل المخترق أشياء كثيره في الموقع
وألغى كثير من المواضيع
والمخترق حذف كل شئ و استبدل كل المواضيع وكل الروابط بــgranted to AL-Abbasi
طبعا أنا أريد أن أعرف كيف أُخترق هذا الموقع....وأين المشكلة بالظبط
من السيرفر أم من البرنامج نفسه
يعني نريد نقاش هادف بعيدا عن الإساءة والكلام الزائد
محبكم
يمكن ان يكون من البرنامج او من السيرفر لان مفيش برنامج ملوش ثغرة بس انت المفروض تدور انت مشغل ايه وتتابع مع مواقع السكيورتى
__________________
الوكيل الرسمى لرابدشير و ميجا أبلود فى مصر
http://www.rsarabia.com
http://www.muarabia.com
rsarabia.com@hotmail.com
السلام عليكم اخي
اخوي بشكل عام مافي لغة امنه 100% كل اللغات قابله للاختراق لكن تقدر تقول ان ال asp.net بشكل عام اكثر امانا من اي لغة ثانيه
ومع هذا لو برمج شخص هاوي برنامج على ال asp.net
وبرمج شخص محترف برنامج على ال php
اكيد احتمال اختراق برنامج ال asp.net ممكن يكون اعلى لان هذا امر يرجع للمبرمج
لكن في المعايير القياسيه فان ال asp.net اقوى وامنه اكثر من ال php واللغات الثانيه
ملاحظة ::::
واضح جدا ان المخترق قام بعمل Update تحديث لقاعدة البيانات
لانه استبدل كل المواضيع بموضوع واحد وليس كل المواضيع بل جزء منها
يعني قدر في مكان ما في الموقع انه ينفذ جملة Update او تحديث والجملة ماشتغلت على كل المواضع لكن اشتغلت على جزء منهم واضح جدا ان في شرط ماتحقق في المواضيع الي ماتغيرت
اما المكان الي قام بتنفيذ الجملة على قاعدة البيانات منه فهو مكان يسمح للزوار او الاعضاء ان يكتب فيه ويتصل مع قاعدة البيانات اما البحث او سجل الزوار او اي مكان اخر بالموقع
في احدهم يوجد ثغره وربما الثعره تكون في جملة ال SQL المستخدمه انها قابلة لاستيعاب جملة اخرى وتنفيذها
في امان الله
__________________
@_@
اضافة على الرد السابق
لاحظ ان كل المواضيع تغيرت الا المواضيع الموجوده في ركن (مستشارك) او (الاستشارات)
مدير الموقع رح يقدر يعرف الثغره من هنا
لان هذا الركن في شيء فيه بختلف عن باقي الاركان في الموقع وبما انه فيه ادخال من قبل الزوار وما تم اختراقه اذا غالبا جملة ال SQL ماقدر المخترق ينفذها هناك او اي ثغره ثانيه ماهو شرط تكون ثغرة جملة ال SQL
على كل الاحوال هذا بمثابة طوق النجاة لمدير الموقعيعني توفر عليه وقت كثير في البحث عن الثغره ومعرفتها
__________________
@_@
السلام عليكم ورحمة الله وبركاته...
طبعاً كل لغة ممكن تكون آمنة وممكن تكون غير آمنة
وكله على حسب امكانيات المبرمج نفسه.. واذا في اي نقاط ضعف في اللغة يمكنه التغلب عليها بمهارته
__________________
مدونتي
أخي nothing4u
ماقصرت على افادتك الجميلة
وفعلا نفس الي في خاطري بخصوص الإستشارات
وأشكر جميع من شارك في الموضوع والحمد لله الموقع تصلح لكن أتوقع أنه سيعود المخترق مره أخرى طالما أن الثغره موجودة
ضوابط المشاركة
رد مع اقتباس