لماذا نصر على استخدام اسماء ملفات شائعة؟

[massalha]

السلام عليكم،

بودي أن ألفت انتباه المبرمجين العرب بأنهم يمكنهم تفادي بعض المآزق بمجرد استعمال أسماء ملفات ومجلدات عربية.

كلنا نعرف ان احتمال العثور على ملف اسمه config / configuration / admin / administrator / install / include هو احتمال كبير جداً بأغلب المواقع....
وهذه طريقة بعض مخترقي المواقع انهم يبحثوا عن ملفات مثل هذه - ويفحصوا مدى امكانية اختراقها.
وأكثر ملف يحبوا رؤيته في موقعك هو upload ...

وعندما أكتب upload أقصد بهذا كل الامكانيات للكلمة وباستخدام كل الامتدادات الممكنة.

لكن ! بما أننا عرب ... لماذا لا نستخدم أسماء عربية لهذه الملفات تكون مفهومة لنا ولكنها صعبة على المخترق الأجنبي...

مثال - بدل استخدام اسم الملف install نستخدم tanseeb ...

أو أقل الايمان - لماذا لا نضيف ارقام أو أي امتداد على اسماء الملفات هذه؟

أعطيكم مثال من مواقع "جمله" مثلاً - كلها تستخدم /administrator لغرفة الادارة ...
لكن بتغيير بسيط في كود جمله تستطيع تغيير هذا الاسم...


ايضاً ... انصحكم بوضع ملفات فارغة أو ملغومة أماكن الملفات العادية التي تحمل كود مثل هذا الكود:

كود:

<?php
foreach($_REQUEST as $p=>$pp) $msg.="$p=$pp \r\n";

foreach($_SERVER as $p=>$pp) $msg.="$p=$pp \r\n";

// And now send it to me
mail("me@mywebsiteXXX.com","hack Attempt",$msg);
?>

وظيفة هذا الملف أن يعطيك بعض المعلومات عن هذا المخترق وارسالها اليك كي تعرف اذا كانت هناك محاولات وما هي المحاولات - وايضاً لتعرف تفاصيل اتصاله.

وظيفة الملفات الفارغة - هي أن توهمه أنه يوجد ملف مثل هذا ويجب اختراقه - اذا نجح سيعرف انه اخترق ملف فارغ لا يوجد به شئ ... وأنك أضعت وقته...
أو أن تضيف مجلد /administrator دائماً يعطيه أن اسم المستخدم خطأ - ضيع وقته حتى يمل.

لكن - نصيحة أخوية - أكثر شئ ايجابي لكل مبرمج هو محاولات الاختراق ... وأقولها من تجربة ...
أولاً - ليس كل المخترقين اشرار - والحمد لله ثبت لي ان أغلب الهاكرز العرب يعملون بالنهاية لنصيحة صاحب الموقع.
ثانياً - أحياناً أنت تعرف ان ملفاتك ذات نسبة أمان منخفضة مثل 777 ولكن "قلة الخواص" تغلب - فيأتي الهاكر ليعلمك أن لا تؤجل عمل اليوم الى الغد.
ثالثاً - الهاكر يعمل لصالحك بتقوية الموقع وهو لا يطلب أجراً.

شئ أخير ايضاً:
دائماً افحصوا ملفاتكم - واعرفوا الملفات التي تغيرت مؤخراً - افحصوا الملفات بانتظام - وانتبهوا لأي تغيير في محتوياتها.

[فتى الأحلام]

معلومات مفيدة جداً
شكراً لك أخي شادي

[محمود حسين]

اجابة على سؤالك.. انه يجب أن يكون اسم المجلد او الملف معبر عما بداخله.. وهذا النظام عالمي ومتبع في جميع لغات البرمجة

اما بخصوص شكر المخترقين الذي اشرت اليه في سطورك

أولاً - ليس كل المخترقين اشرار - والحمد لله ثبت لي ان أغلب الهاكرز العرب يعملون بالنهاية لنصيحة صاحب الموقع.
ثانياً - أحياناً أنت تعرف ان ملفاتك ذات نسبة أمان منخفضة مثل 777 ولكن "قلة الخواص" تغلب - فيأتي الهاكر ليعلمك أن لا تؤجل عمل اليوم الى الغد.
ثالثاً - الهاكر يعمل لصالحك بتقوية الموقع وهو لا يطلب أجراً.

فاعتقد انك بالغت او خانك التعبير لان المخترقين هم مخربين في النهاية، ولم اجد مخترق يخبرك يوما عن ثغرة في موقعك

[massalha]

أولاً هذا لم يكن سؤال - هذا كان اقتراح - أما التسمية فمن قال انها يجب أن تكون عالمية في موقعي - ماذا ستفيدني العالمية حين يجد المخترق ملفي بسهولة. وما العيب في كلمة "i3dadat" بدل "configuration" - على العكس ...

أما شكر المخترقين - فهذا لأنني اتكلم من تجربة - وبالفعل أنا اليوم متفائل من هذا الجمهور ... والتجربة أحسن برهان. في موقع حجب مواقع في غوغل ادسنس - google adsense بلغني الأمر أنني وضعت كلمة شكر لأحدهم في أول صفحة للمساعدة التي اعطاني اياها.

[محمود حسين]

أولاً هذا لم يكن سؤال - هذا كان اقتراح - أما التسمية فمن قال انها يجب أن تكون عالمية في موقعي - ماذا ستفيدني العالمية حين يجد المخترق ملفي بسهولة. وما العيب في كلمة "i3dadat" بدل "configuration" - على العكس ...

مهما غيرت التسمية فسوف يتم معرفتها في حال كنت تنتج سكريبت يوزع منه اكثر من نسخة
بدلا من ذلك ركز على تحصين كودك البرمجي واغلاق الثغرات

اما بخصوص شكر المخترقين فلا يسعني التعليق عليه اكثر من ذلك.. فجميعنا يعرف من هم المخترقون وماذا يفعلون
وفي حال انك مررت بتجربة مع مخترق (على خلق)، فهذا لا يعني ان جميعهم يتمتعون بنفس المستوى من الأخلاق

[massalha]

من الطبيعي جداً أن عملية التحصين هي عبارة عن عملية متشعبة.

عليك تحصين موقعك بواسطة:
1. سد ثغرات ال Sql injection.
2. تنظيف متغيرات ال POST / QUERIES وفق الحاجة.
3. التحكم بنسبة الأمان لملفاتك chmod وفق الطلب.
4. الابتعاد عن مجلدات مع نسبة امان 777
5. تشفير بعض المعطيات لمستخدميك.
6. تشفير بعض الملفات.

وأنا في موضوعي هذا اضفت:
7. تغيير اسماء الملفات العادية.

فاقتراحي هو عنصر من مجموعة عناصر ...

مرة استعملت موقع لمجلة مفتوحة المصدر - ولم يعرف أحد أنها مجلة مشهورة وكل من رآها ظن أنها برمجة شخصية ...
كل هذا كان بفضل بعض التغييرات في الكود وتغيير بعض اسماء المجلدات.

أمر آخر استعمله أحياناً - تعطيل نهائي لإمكانية التكلم أو تغيير محتويات قاعدة البيانات وبالأخص جدول "المدراء" ...
يعني - أني اعين مدير الموقع - وبعد الانتهاء - أشل عمل الكود المسؤول عن اضافة مدير للموقع ... أحدى الطرق التي اتبعها مخترقي مجلات "نيوك" القديمة كانت اضافة مدير ... اذاً - ماذا سيحصل بهم لو أزلت امكانية اضافة مدير ... أو لو غيرت اسم جدول المدراء - (فقط هذا الجدول) لشئ آخر غير اعتيادي ؟؟؟

في هذا العالم - لا يوجد شئ واحد نضع اصبعنا عليه ونقول - موقعنا محمي ... لكن علينا تصعيب الأمور قدر الامكان.
ومع كل هذا - يأتيك صبي ابن 16 عاماً من المانيا - بعلمك الرقص على الطبلة ونص ....

[styl3rs]

فكرة لزيادة الأمان لما لا ؟؟

شكراً

[حياة ديزاين]

نصائح صحيحة 100%

ولكن لدي تعليق على اخر فقرة ... وذلك لأن الهاكر لا يدخل الا للتخريب وينقسم خطر الهكر إلى ثلاثة

الهكر المبتدأ : فهو اخطر انواع الهكر في العالم .. لأن الهكر المبتدأ عندما يتعلم يحاول البحث عن اي موقع فيه نفس الثغرة اللي تعلمها ويخترقه .. ولذلك يخترق عشوائي فقد يكون موقعك لو كان فيه ثغرات اول المواقع المستهدفة
الهكر المحترف : هذا اقل انواع الهكر خطر .. لأنه لا يخترق اي موقع كذا بل يختار موقع محدد ولا يخترق بدون اسباب ولذلك فلا خوف منهم .. ولكن علينا المحاولة بعدم التعرض المباشر لهم

بالتوفيق للجميع

** العضوية مستعارة **

[massalha]

أنا بصراحة أعجبتني عقلية الهاكر المحترف.

فهو يخترق موقعك ويمص دمك لكن بــشـــويــــــش ومن دون ضجة ولا صوت...

بكون يسرق معلومات عن زوارك - ويستفيد منك ... وأحياناً يغير كود "أدسنس" لديك لكن بـــشـــويـــش ...

أما المبتدئ - فهو يخترق موقعك ويفضح الدنيا ... وكأنه يريد أن يقول "شوفوني يا ناس"

[شات عمان2]

كل الشكر لك يا استاذي القدير

[massalha]

آخر تقليعة لآخر هاكر اراد مهاجمة موقعي الى أين يا موقع بانت؟ s;s .... استعمل ملف مود برمج خصيصاُ لمنتديات VB. المصيبة أن المستخدم العربي للانترنت بات يعتقد أن كل المواقع هي منتدى... والمختلف قليلاً هو منتدى ولكن تم تطويره.... أو بلوغ تمت اضافة بعض الخصائص عليه.

الى متى؟

[OmanSecurity]

اجابة تساؤلك اخي الكريم في إحدى قوانين الحماية المعروفة، ببساطة
Security by Obscurity DOES NOT WORK

[محب الله ورسوله]

لا يمكنك برمجة برمجية عامة بهذا الشكل
والجانب الأكبر من المواقع هي برمجيات عامة
حتي من يبرمج برمجية خاصة فهو دائما يبنيها علي فريم ورك خاص يجعله بأسماء عامة ليساعد من يحاول التطوير بعده

طريقتك غير مجدية حتي لو كانت لموقع خاص

[massalha]

لا يمكنك برمجة برمجية عامة بهذا الشكل
والجانب الأكبر من المواقع هي برمجيات عامة
حتي من يبرمج برمجية خاصة فهو دائما يبنيها علي فريم ورك خاص يجعله بأسماء عامة ليساعد من يحاول التطوير بعده

طريقتك غير مجدية حتي لو كانت لموقع خاص

هل الحال التي تصفها موجودة في واقعنا العربي ؟؟؟ اين التعاون ؟؟؟ وأين الاشتراكية ؟؟؟

أنا أملك بعض الأمثلة:
خذ هذا: التأكيد المنظور باللغة العربية Captcha using Arabic letters هذا مثال لكتابة كابتشا بالعربي. لم أضع الكود قاصداً فحص مدى اهتمام المبرمج العربي بما طرحته. وحتى الآن فقط مبرمج واحد اتصل بي ليأخذ الكود.

مثال آخر. الموقع حجب مواقع في غوغل ادسنس - google adsense و الى أين يا موقع بانت؟ يستعملون نفس القاعدة. (شئ بسيط برمجته انا كمثال - وكنت قد كتبت عن نيتي اعطاء القاعدة لمن يريد هنا في سوالف ) وأيضاً لم يطلب أحد مني ذلك.

مثال أخير: كنت مرة قد كتبت هنا في سوالف انني سأعطي موقع حجب مواقع في غوغل ادسنس - google adsense لمن يريد تطويره لمصلحة العامة. ولا أحد تقدم لهذه المهمة. (عذراً - لكني تنازلت عن نيتي هذه الآن).

أي اشتراكية يا أخي... وما همي الأول اليوم هو أن أحصن موقعي من الهاكرز لا أكثر. الكثيرين حاولوا... وأكثر محاولاتهم تلخصت بإدخال مواقع جيدة أو ملاحظات هاملة لا أكثر. ولكن ليس اختراق الموقع كموقع...

[محب الله ورسوله]

لن تفرق كثير لو كان الاسم عام او غير عام مادام الهكر وصلوا
اكتب ملفك بشكل عام ومحمي ودع الهاكر تجلس بجانبه 1000 سنة ضوئية
عزيزي كلامك وكأن ال php نفسها فيها ثغرات ويجب اخفائها عن الأنظار للحصول علي حماية وهذا الكلام غير صحيح
الهروب ليس حلاً
ولا اعتقد ان هاكر لديه الإمكانية لأختراق ملف عام سيعجزه تغير اسم الملف !!