تأميين الـPHP

[OmanSecurity]

السلام عليكم ورحمة الله وبركاته

أشكرك يا أخ Hamad4Ever على تنبيهك لأخوانك بكل ماهو مفيد في مجالاتهم على الـ php والله يكثر من أمثالك يارب.

عندي مداخله مهمه كنت سوف أطرحها بموضوع مستقل ولكن كانت تحتاج وقت للكتابه كبير وأنا مستعجل أغلب الأوقات

المهم

ماذا عن خطورة بيئة الـ php كثغرات الـ BufferOverflow او HeapOverFlow أو StringFormat أو تخطي بعض الخواص المفعله مثل الـ SafeMode وغيرها ؟

أعتقد هذه أخطر ومصيبتها أعظم ولا ينفع معها لا إغلاق دوال ولا حتى open_baseddir !!!

من المعلوم أن مطوري الـ php عند برمجتهم لمنتجهم يحاولون بشتى الطرق أن تكون الـ php متوازنه بين بيئة الويندوز وبيئة اللينكس في أغلب الأحيان وهذا يؤدي بهم إلى دخولهم في شجره كبيره من التعقيدات تجبرهم للوقوع في أخطاء قويه لم يشاهدوها على الإطلاق وطبعا الضحيه في أخر المطاف هو المستضيف الذي يستخدم الـ php

المشكله أن أغلب هذه الأخطاء موجوده حتى هذا اليوم مثل دالة unset ومشكلتها مع الـ emalloc وغيرها كثير من الدوال التي إن أستخدمت بحرافه لتم إزالة الـ SafeMode و الـ disabblefunctions وتنفيذ أي أمر بالرغم من أنف المستضيف الذي يعمل كل هذه التغييرات .

إذن ما الحل ؟؟؟؟

هناك حل خطير قمت بتجربته لفتره من الزمن وإختباره أمنياً على الـ php وكان حلاً بارع جداً من شخص ذو ثقل في عالم السيكيوريتي واسمه Suhosin وهو من كوريا حيث أصدر ترقيعه أسماها Suhosin Patch وهي عباره عن ترقيع يتم عمله لبيئة الـ php قبل عملية الـ install وبعد الترقيع يتم بناء الـ php وتنصيبها على الـ Apache مثل ماترغب.

أضف إلى ذلك أن به خاصيه خطيره تخبرك عن السكربت الذي يوجد به ثغرة include مع تعطيل الثغره وتقنين أمني على كل مايرسل إلى صفحات السكربتات وغيرها من الخواص التي لو تكلمت عنها لما إكتفيت بهذا الرد المختصر.

أرجو الإطلاع على المنتج على الرابط التالي:

http://www.hardened-php.net/suhosin/index.html

وأي سؤال أنا حاضر

نعم اخي
لكن المشكله تكمن في ان الـpatch يقلل من سرعه مترجم الـphp
وهذا الشي موضح بالموقع بعد ما عملوا benchmark للـphp قبل وبعد تركيب الـpache

ٍسلااام

[العرب للجميع]

تسلم اخ حمادة على الموضوع الجميل

درس قيم بالفعل

[العملاق]

كنت إذا تناقشت مع أحد حول الأمن في الـPHP أقول له أن الثغرات من أسلوب المبرمج وليست من اللغة نفسها
لكن هذا الموضوع صدمني!
هل في الـPHP كلغة ثغرات ؟؟
لم أسمع من قبل عن BufferOverflow و HeapOverFlow و StringFormat .. هل ممكن أحد يفيدنا بروابط تعريفية ؟

[ADV]

يا أخوان الله يجزاك بالخير ...


لماذا لا يتم طرح طرق فحص الموقع وسد الثغرات قدر الإمكان ....


ليس لغرض الاختراق او ما شابه وانما لحماية مواقعنا ...



ارجوا منكم الافادة

[عبد الله هُربي]

يا أخوان الله يجزاك بالخير ...


لماذا لا يتم طرح طرق فحص الموقع وسد الثغرات قدر الإمكان ....


ليس لغرض الاختراق او ما شابه وانما لحماية مواقعنا ...



ارجوا منكم الافادة

ياريت ..

وجزاك الله خير ..

[ثامر العنزي]

ما شاء الله عليك دائم مبدع الغالي HaMaDa4eVeR
يعطيك الف عافية وكل عام وانت بالف خير

[aboans20]

ياسلام .. الغالي HaMaDa4eVeR رائع

والله ياجماعة محتاجين كثير للحوار الهادي والمفيد
والاسلوب السلس اللي تم الشرح فيه والخطوات اللازمة ..

عندي سؤال ياغالي ..
باختصار هل ايقاف دوال البي اتش بي المشار اليها اعلاه كافيه للحد من تجاوز الحدود في التوسع باختراق موقع ووبعد ذلك التمكن من الوصول الى ملفات الروت .. :con2:

لك مني التحيه والتقدير ..

اخوكـ ابونايف

[HaMaDa4eVeR]

هل يمكن أن أسمح لدالة معطله من قبل السيرفر من الـ cPanel حقت الموقع
وكيف؟

cpanel ليست لديها خيارات من هذا القبيل...

وفي نفس الوقت يجب عدم اغفال دالة تغيير محتويات الـ php.ini وهي ini_set
لأنه يمكن من خلالها اعادة ضبط خصائص الـ php

ملاحظة جيدة :nice:

هل ايقاف دوال البي اتش بي المشار اليها اعلاه كافيه للحد من تجاوز الحدود في التوسع باختراق موقع ووبعد ذلك التمكن من الوصول الى ملفات الروت .

يمكن ذلك(راجع رد العندليب).
في ثغرات حتى في النسخة الاخيرة من php 4.4.4 انظر هنا http://cvs.php.net/viewcvs.cgi/php-src/NEWS

لايمكن الوصول الى ملفات الروت بسهولة على اي حال

والله اعلم

[aboans20]

يعطيك العافية اخوي HaMaDa4eVeR ..

اذا مع كل ذلك .. نريد تفصيل لخل امني مفصل لاهم الخطوات الواجب اتخاذها والدوال الاهم لايقافها ..
في غير الذي تم التطرق اليه . مع العفوا فيا زيادة طلباتي .

دمتم بود

والله الموفق
ابونايف

[THE STUDENT]

موضوع مفيد جزاكم الله خيرا ونتمنى مزيدا من التفاعل

[العندليب]

السلام عليكم ورحمة الله وبركاته

وكل عام وأنتم بخير
والعفو يا أخواني الكرام والبركه في الأخ Hamad على فتح النقاش في هذا الشأن.

أفضل طريقة للبحث في موقعك عن ثغرات الـSQL injection و Cross site scripting وكمان Google hacking ،، هنالك اداة اسمها (Acunetix Web Vulnerability Scanner) قم بتشغيلها وسوف تبحث في موقعك وفي النهاية بتعطيك تقرير مفيد .

أغلب هذه البرامج يعطي تقرير عن الثغرات التي أكتشفت وسجلت في مواقع السيكيوريتي ولكن أغلبها لا يستطيع أن يظهر عيوب السكربتات من Sql Injection و Include وغيرها كثير وأعتقد أن أفضل حل في نظري هو متابعة مواقع السيكيوريتي المشهوره ومعرفة الأمور المهمه التي تهم كل شخص يقوم ببناء موقعه والتنبيه على المستضيف الذي يدير عجلة القياده طبعا

نعم اخي
لكن المشكله تكمن في ان الـpatch يقلل من سرعه مترجم الـphp
وهذا الشي موضح بالموقع بعد ما عملوا benchmark للـphp قبل وبعد تركيب الـpache

ٍسلااام

طيب هل لك أن ترينا مقدار الفرق الزمني بين نسخ الـ php العاديه ونسخ الـ php المعدله بترقيع Suhosin الذي جعلك تقول أن هناك مشكله !!!
وكيف تم حساب هذا الفرق وعلى أي أساس .
ننتظرك

كنت إذا تناقشت مع أحد حول الأمن في الـPHP أقول له أن الثغرات من أسلوب المبرمج وليست من اللغة نفسها
لكن هذا الموضوع صدمني!
هل في الـPHP كلغة ثغرات ؟؟
لم أسمع من قبل عن BufferOverflow و HeapOverFlow و StringFormat .. هل ممكن أحد يفيدنا بروابط تعريفية ؟

كلامك سليم ولا عليه غبار ولكن لو عرفت أن أغلب لغات البرمجه الجديده في الأساس برنامج تم برمجته بلغه أخرى لعرفت أن الخطأ يمر على المبرمج المستخدم لهذه اللغه الجديده دون أن يعلم وهذا شي طبيعي أما سؤالك عن الـ BufferOverFlow وغيرها فهذه ثغرات كان يقع فيها المبرمجين الأوائل في لغة الأسمبلي والسي وأغلب مواقع السيكيوريتي تتكلم عنها بتفصيل أكبر فراجع مواقع السيكيوريتي المشهوره مثل Securityfocus.com أو إبحث في قووقل What Is BufferOverFlow ؟

وفي نفس الوقت يجب عدم اغفال دالة تغيير محتويات الـ php.ini وهي ini_set
لأنه يمكن من خلالها اعادة ضبط خصائص الـ php

دالة ini_set تستخدم على التعليمات التي تكون صلاحياتها PHP_INI_ALL أو PHP_INI_PERDIR وهذه الصلاحيات مقسمه في الـ php على النحو التالي:
( 1 ) --> PHP_INI_USER أي تعليمه تحمل هذا النوع من الصلاحيات بالإمكان تعديلها من خلال السكربت بدالة ini_set أو عن طريق htaccess .
( 2 ) --> PHP_INI_PERDIR أي تعليمه تحمل هذا النوع من الصلاحيات بالإمكان تعديلها عن طريق htaccess أو httpd.conf أو php.ini فقط.
( 4 ) --> PHP_INI_SYSTEM أي تعليمه تحمل هذا النوع من الصلاحيات بالإمكان تعديلها عن طريق httpd.conf أو php.ini فقط.
( 7 ) --> PHP_INI_ALL أي تعليمه تحمل هذا النوع من الصلاحيات بالإمكان تعديلها من أي مكان.

فعلى سبيل المثال:
تعليمة allow_url_fopen صلاحياتها PHP_INI_SYSTEM وقيمتها 1 افتراضياً .
تعليمة safe_mode صلاحياتها PHP_INI_SYSTEM وقيمتها 0 افتراضياً .
تعليمة register_globals صلاحياتها PHP_INI_PERDIR وقيمتها 0 افتراضياً .

وكلمة افتراضياً أعني بها في حالة عدم وضع هذه التعليمات داخل ملف php.ini او ملف httpd.conf أو htaccess أو حتى من خلال السكربت فسوف تأخذ القيمه التي أشرت لها.
ولمشاهدة قائمة التعليمات وصلاحياتها أدخل على الرابط التالي:
http://us2.php.net/ini.core

هل ايقاف دوال البي اتش بي المشار اليها اعلاه كافيه للحد من تجاوز الحدود في التوسع باختراق موقع ووبعد ذلك التمكن من الوصول الى ملفات الروت .

لا طبعا ليس كافي
ولكن تعطيلها مفيد جداً في حالة الـ Script Kiddey
أطفال السكربتات .

هل يمكن أن أسمح لدالة معطله من قبل السيرفر من الـ cPanel حقت الموقع
وكيف؟

أكثر ما أتى بالبلاء على المواقع هي الـ Cpanel وغيرها من لوحات التحكم التي يستخدمها المستضيف ليسهل على نفسه عناء العمل على خادمه.
بل إن بعض المستضيفين لا يعرف أغلب خواص السي بانل وكل مايعرفه هو Add Account وهمه الأول هو كيف أكسب 400 ريال او 500 ريال سنوياً من صاحب موقع أو منتدى .
نسأل الله السلامه.


بالتوفيق للجميع

[JeddaHost]

السلام عليكم ورحمة الله وبركاته

أول شي اشكركم جميعاً على هذا النقاش المفيد


ثاني شي ابغى اسئل سؤال :
انا دخلت على الموقع إلي حطه اخوي العندليب بس الصراحة ما عرفت كيف اركب ال Suhosin

ياريت لو تفيدونا

مع تحياتي

[موقع روش]

ومازلت اطلب منكم
توضيح ماهي الثغرات التي ممكن ان تاتي بسبب المبرمج لتجنبها في عمل اي سكربت يقوم بعمله
وانتظر الرررررد
مثلا ثغرات
xss
وماذا ايضا
وكيفيه عمل الثغره

[HaMaDa4eVeR]

السلام عليكم ورحمة الله وبركاته

أول شي اشكركم جميعاً على هذا النقاش المفيد


ثاني شي ابغى اسئل سؤال :
انا دخلت على الموقع إلي حطه اخوي العندليب بس الصراحة ما عرفت كيف اركب ال Suhosin

ياريت لو تفيدونا

مع تحياتي

عندل ح يفيدك اكثر بحكم تجاربه

ومازلت اطلب منكم
توضيح ماهي الثغرات التي ممكن ان تاتي بسبب المبرمج لتجنبها في عمل اي سكربت يقوم بعمله
وانتظر الرررررد
مثلا ثغرات
xss
وماذا ايضا
وكيفيه عمل الثغره

XSS تعني (Cross Site Scripting) واقل لك باختصار تهديدات الـXSS ، في أغلب الأحيان يستخدم المهاجمون (attackers) زراعة شفرات (JavaScript, VBScript, ActiveX, HTML أو حتى Actionscript الخاصة بالفلاش) لكي يجمع المعلومات التي يحتاجها كملفات الكوكيز او حتى الباسويردات ... ويوميا يتم الكشف عن الاستخدمات الخبيثة للـXSS من قبل الهاكرز او المهاجمون .
والحديث حولها يطول ويطول...............

المهم كيف نحمي أنفسنا منها كـمبرمجين
ببساطة اقل لك افحص جيدا مدخلات برنامجك واوسمة الميتا الخاصة به بالطرق المناسبة لذلك.
قم بتحويل الاوسمة (html)هذه (< و >) الى (&lt; و &gt) ،،، بالطبع هذا التغير وحده لن يحميك.

كيف تحمي نفسك كمستخدم
لا تزر الروابط مباشرة التي تاتيك في بريدك الالكتروني انسخها وافتحها في نافذ جديدة.
وأفضل طريقة لكي تحمي نفسم قم بتعطيل Javascript في متصفح الانترنت الخاص بك.
قم بضبط مستوى الحماية في متصفح مايكروسفت الى المستوى الاعلى لكي تمنع من سرقة الكوكيز الخاص بك وهذه الطريقة هي الاكثر أمانا.
لا تثق تماما في المواقع المحمية (SSL )https ... وتوقع كل شي.
اذا كنت تود معرفة المزيد عن الـXSS قم بقراة هذه المواضيع

http://www.usatoday.com/life/cyber/t...urity-side.htm

http://www.perl.com/pub/a/2002/02/20/css.html

http://www.cert.org/advisories/CA-2000-02.html

http://www.cert.org/tech_tips/cgi_metacharacters.html

http://eyeonsecurity.net/papers/passporthijack.html

http://www.eccentrix.com/education/b...pt.htm#cookies


لدي دالة تقم بفحص XSS
يمكنك استخدامها في برنامجكـ:

كود PHP:


function RemoveXSS($val) { 
  
   $val = preg_replace('/([\x00-\x08][\x0b-\x0c][\x0e-\x20])/', '', $val); 
    
   //استبدال مباشر للحروف العادية
   // هذا يمنع ،،، مثلاً <IMG SRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29> 
   $search = 'abcdefghijklmnopqrstuvwxyz'; 
   $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'; 
   $search .= '1234567890!@#$%^&*()'; 
   $search .= '~`";:?+/={}[]-_|\'\\'; 
   for ($i = 0; $i < strlen($search); $i++) { 
      $val = preg_replace('/(&#[x|X]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ; 
      $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ; 
   } 

   $ra1 = Array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base'); 
   $ra2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload'); 
   $ra = array_merge($ra1, $ra2); 
    
   $found = true; // 
   while ($found == true) { 
      $val_before = $val; 
      for ($i = 0; $i < sizeof($ra); $i++) { 
         $pattern = '/'; 
         for ($j = 0; $j < strlen($ra[$i]); $j++) { 
            if ($j > 0) { 
               $pattern .= '('; 
               $pattern .= '(&#[x|X]0{0,8}([9][a][b]);?)?'; 
               $pattern .= '|(&#0{0,8}([9][10][13]);?)?'; 
               $pattern .= ')?'; 
            } 
            $pattern .= $ra[$i][$j]; 
         } 
         $pattern .= '/i'; 
         $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2);
         $val = preg_replace($pattern, $replacement, $val); // فحص الاوسمه الخاصة بالهيكس  
         if ($val_before == $val) { 
            //تعظيم سلام
            $found = false; 
         } 
      } 
   } 
} 


أمنى ان اكن قد افدتك ولو بالقليل
احب ان اشكر مجددا العندل لاضافتاه الراقية والمفيدة :nice:

[موقع روش]

تمام شكرا لك لتوضيحك وشرحك
تمام بس دا شرح عن ثغرايا واحده
xss
ومشاكلها
طيب ماذا يوجد ايضا من ثغراات للمواقع غير ال xss
وانتظر ردك من جديد او رد استاذي العندليب
وشكرا لكم للشرح الوافي