موضوع رااايق .. و طرح رائع أخوي arbswebs
.. " متابع " ..
---------------------------------
تحميل ألعاب ألعاب ألعاب PC ألعاب كمبيوتر
PC games games download
links روابط دليل
| |
موضوع رااايق .. و طرح رائع أخوي arbswebs
.. " متابع " ..
---------------------------------
تحميل ألعاب ألعاب ألعاب PC ألعاب كمبيوتر
PC games games download
links روابط دليل
قمت بالتجربة طبعا السيرفر عندي محمي اي ملف شل يصير على الموقع ماراح ينفذ اي شيء على الموقع
لكن بين معي ان الشل اذا صار التصريح 111 لا يعمل ابدا
لكن لم يختفي المجلد كما ذكرت ولا اعلم ما السبب ...
لكن فكرة جيدة فعلا !
__________________
من لا يشكر الناس لايشكر الله
طريقه تفكير رائعه
يوم من الأيام جائني صديق عزيز عـلي ( مقيم في ألمانيا )
فقال هذا الـشل على موقعي واتحداك تجيب ملف الـConfig قلت هاه؟
ذهبت الى قائمة الدوال المغلقه في السيرفر ,
طوالي كتابة كود "PHP" همته ينفذ أوامر لينكس عن طريق دالة الـ()shell_exec
الغير مغلقه . .
أمر
في المواقف هذي كـ تطبيق أوامر لينكس ,ثغرات القراه كـ Copy ,SQL ماتنفعنا التصاريح!!كود:cat /home/faisalcp/public_html/vb/includes/config.php
ملاحظهٍ: صاحبي وقتها كان حاطط تصريح عدم أظهار إى ملف بمجلد المنتدى ,عذراً حالياٍ لا يحظرني رقم التصريح
__________________
لا إله الا الله .. سبحانك إني كنت من الظالمين
سبحانك الله و بحمدك .. سبحان الله العظيم ...!!
ADV
مهماٍ ابتكرنا واكتشفنا طرق عدم تشغيل PHPScript على السيرفرات تتخطى بكل سهولهًلكن بين معي ان الشل اذا صار التصريح 111 لا يعمل ابدا
ياللأسف الSafe_mode ,disabled_functions حتى بـ صلاحية اليوزر التي كنا نإمن بها ونحسب لهاٍ ألف احساب عندما نقوم بفتتح سيرفر جديد او نقوم بإدارة سيرفر معين كحماية له , تتخطى بكل سهوله php.ini ,
من بعد ثغره الكوبي ,!!
ظهرت الثغرات سوء البرايفت او المكتشفة لاحقاٍ
:: همتكم ياسكيورتي العرب ::
__________________
لا إله الا الله .. سبحانك إني كنت من الظالمين
سبحانك الله و بحمدك .. سبحان الله العظيم ...!!
chmod -R 644
التصريح 644 أكثر من كافي لمعالجة المشكلة
انا لست خبيره حماية او خبير في امن المعلومات
ولكن من باب المشاركة والتجربة وبقليل من الخبرة حاولت تجربة هذا التصريح فقط ... ولم يعمل معي الشل ابدا حاولت بجميع الطرق التي اعرفها ولو انها بسيطة ولكن دون فائدة
اشكرك Gmc.9 على التعليق وياريت تبين بعض الامور عن الحماية والثغرات مادام عندك الخبرة الكافية
__________________
من لا يشكر الناس لايشكر الله
امر ls -al
يعرض جميع الملفات من الشيل مهما كانت صلاحياتها
انا اتكلم بواقع خبرتي بنظام يونكس
وشكراً
__________________
إستخدم ملفك الخاص لكتابة توقيعك
وأتصور هذا هو الصحيح..المشاركة الأصلية كتبت بواسطة ALRheeB.Net
امر ls -al
يعرض جميع الملفات من الشيل مهما كانت صلاحياتها
انا اتكلم بواقع خبرتي بنظام يونكس
وشكراً
Gmc.9
ياريت تبين ما تكتبه للمبتدئين وياريت يكون شرح من البداية مفصل
موضوع ممتاز
وين الردود التصحيحه من اخواننا خبراء الحمايه والبرمجه ارى منهم قليلين هنا
السلام عليكم
جزاكم الله خيرا كل من ساهم في اثراء الموضوع
وان تأتي متاخرا خيرا من أن لا تأتي
مازلت اقول ( كما يقولوا في الاعلانات )
التجربة خير برهان
نعود لاصل الموضوع
كثيرون هم الذين لا يقوموا بمتابعة الثغرات الحديثة
وحتى من يقوم بذلك لابد بعض الاحيان ان يغفل عن شيء
اذن الجميع معرض للوقوع في المحظور
نعود نركز قليلا على ان احدهم وبطريقة ما قام برفع شل على موقعك
هذا التصريح 111 يقوم بحصر عمل الشل ( ان عمل ) في المجلد الموجود فيه فقط
كيف ذلك ؟ وكيف نقوم تفعيل التصريح 111 بطريقة صحيحه ؟
ندخل السي بانيل << السي بانيل وليس الاف تي بي !!!
لنفرض ان موقعك هكذا
www/vb/1/2/3/4
هذا مثال لترتيب المجلدات في ادارة الملفات من السي بانيل
نبدأ بالمجلد رقم 4 ونضع تصريحه 111
ونعود بالترتيب حتى نصل الى الروت الاصلي www ونضع له تصريح 111
الان انتهينا نقوم باغلاق السي بانيل
وندخل الموقع عن طريق الاف تي بي
ماذا ترى ؟؟؟؟؟؟؟؟
سوف ترى الروت الاصلي www ولايوجد به شيء ؟؟؟
تحققوا من ذلك واعطوني رايكم
وهذا مبدأ الحماية من الشل
فلو قام المخترق برفع شل داخل مجلد رقم 2 وبجانب المجلد الف مجلد وبداخله الف اخر
وقبله مثلهم وهكذا !!!
فلن يرى سوى محتويات المجلد رقم 2 والذي قام برفع الشل بداخله
وحسب طريقته وشله فربما لن يرى شيء !!
دائما اعتمد على الله تعالى ثم على تجربتك الشخصية
ودعكم من قولي وقول فلان وعلان وخبراء وغير خبراء
نحن جميعا نجرب ونتعلم
( مشكلتنا العرب .. يا حبنا للاتكالية والتقليد )
جربوا بأنفسكم ولا تأخذوا بكلامي ولا كلام غيري
الا بعد أن تشاهدوا النتيجة بأعينكم
دمتم بود
ضوابط المشاركة
رد مع اقتباس