ثغرات injection وقواعد البيانات وجلسات السيشن

[Losha.Net]

اخواني الكرام
خبراء الكشف عن الثغرات لدي سؤال اتمنى من من يملك الخبره اجابتي عليه

اولا قمت ببرمجة منتدى برمجة كاملة وانا على يقين تام بوجود ثغرات فيه من نوع injection

ولكن بحمد الله تم ترقيعها على السيرفر الشخصي ولم يتم رفعها للموقع
سؤالي هو كالتالى

المنتدى يحتوي على ثلاث جلسات جلسة للاعضاء وجلسة للادمن وجلسة للزوار

جلسة الاعضاء وجلسة الادمن انشاء الله انه ما فيها شي

حديثي عن جلسة الزوار الكل يعلم انه لايمكنك تسجيل جلسة للزائر الا عن طريق الاي بي

ولن يتم هذا اللى عن طريق الكوكيز هذا حسب علمي وحاولت ان ابعد عن الكوكيز اكثر من مرة ولكن هذه المرة لحفظ اعدادات الزائر اضطررت الى الكوكيز

السوال
هل من العيب البرمجي تسجيل جلسة للزائر او هل قد يستفيد منها الزائر باستخدام script

عند ما تتم تسجيل الجلسة له
مع العلم ان تسجيل الجلسة للزائر محدوده فقط وتم حصرها

اما الكوكيز المرسل لجهاز الشخص برقم ID الاستايل وبرقم IP الشخص مشفرة MD5

تحياتي لكل العاملين

رابط المنتدى
http://www.bas-qana.net/am_ar/

[Losha.Net]

رفــــــــــــــــــــــــــــــــــــــــــــــــ ــــــــــــــــــــــــــــــــــــــــــــــــــ ـــــــــــــــــــــــــــــــــــــــــــــع

[jadweb.com]

الجلسات أكثر أمن من الكوكيز وحاول تعمل تشفير لها يالغالي . md5 أكثر من مرة .

[jadweb.com]

اخوي مشاء الله عليك لم ازر الموقع قبل الرد وبعد الرد اقول اشاهد ظهور نجم مبرمج جديد في سوالف وفقكم الله اخي العزيز و انتبة فقط الى فحص البيانات get تم ارسال رسالة الى بريدك للتنبية و ابحث في سوالف عن فحص البيانات المرسلة بواسطة GET و POST .

وفقكم الله .

[php-man]

أولا أخي بدل جملة " إنشاء ....." بجملة "إن شاء الله"
ثانيا لست أرى أية مشكلة في عمل الجلسات للزوار والإستغناء عن الكوكيز

[Losha.Net]

مشكورين لكل اللى ردوا علموضوع

اخوي php-man
شكرا للتنبيه
انا وضعت الكوكيز عشان لو رجع قبل 30 يوم يلاقي الاعدادات اللى تركها موجوده عشان كذا استخدمت الكوكيز
ومشكور للرد

اخوي jadweb.com

شكرا من القلب للقلب
جاري قراءة محتوى المرسل

[Losha.Net]

اخوي jadweb.com

انا داخل بعضوية ليست لى بس مستعيرها من انسان عزيز على القلب
وعشان كذا انت رسلتها على ايميله
ههههههههههههههه

بامكانك اضافتها على البريد

mosakhawaji_5@hotmail.com
او اضافتي لديك عالماس

موسى خواجي
bluestar

[jadweb.com]

اخي العزيز فقط اهتم بالبيانات عن طريق GET و POST ولا أكثر من ذلك اشوف شغلك مرتب مشاء الله .

[Losha.Net]

عموما مشكور يالغلا
وفهمت القصد ولكن ليس لدي خبره في مجال الحماية من الاختراقات
عموما بيض الله وجهك ولاهنت
ويسلمووووووووووووووووووووووا

[b happy]

لا يمكن الوصول الى الجلسات إلا من خلال السيرفر نفسه على عكس الكوكيز

يعني بأختصار لو برمجت شيء بالجلسات و تم الاختراق اعلم ان السبب من موقع آخر على نفس السيرفر استغل هالموضوع و لتفادي هالشي قم بتخصيص اسماء للجلسات صعبه التخمين مثل تشفير الوقت بواسطة MD5

و لكن الثغرات الي عندك اغلبها من GET و لا تشيل هم الكوكيز و السيشن حاليا

[الحارث]

ما شاء الله المنتدى اكثر من رائع ، نسأل الله لكم التوفيق والسداد

[iMEG]

ما شاء الله هل هذا جهد شخص واحد ؟ و كم استغرق منك ذلك ؟

[Losha.Net]

هلا عيوني

شكرا لكل من تكرم بالرد


الاصدار الاول من النسخة كان عام 1424 am
وهذا تطوير للنسخة وانشاء الله يستمر التحديث حتى تصبح النسخة كاملة والكامل وجه الله

[هتاف المجد]

مبدع يالغالي وفقك الله

شاهد هنا
المنتدى العربي - AM_AR V 2.0 ›› قسم البرمجة المستخدمة في الاصدارة ›› النسخة AM_AR V 2.0 للتحميل

على العموم قمت بعمل اضافه ولن نبخل بالمساعده

[saanina]

generall :
filter input , escape output

by :
htmalspecialchars
htmlentities
strip_tags

mysql :
mysql_real_escape_string
addslashes

numbers:
intval


etc ..