النتائج 1 إلى 13 من 13

الموضوع: ما الحل مع سرقة الكوكيز ؟

  1. #1

    ما الحل مع سرقة الكوكيز ؟



    السلام عليكم

    وانا اتصفح منتدى اجنبى امس وجدت شخص ينشر كوكيز ل 10 حسابات فى موقع hotfile.com
    فحملت الكوكيز ونزلت اضافة تعديل الكوكيز للفايرفوكس وعدلت الكوكيز وعملت تحديث للصفحة ووجدت انى داخل لوحة التحكم الخاصة به
    والغريب ان الكوكيز اتسجل ب ip الخاص بى

    معقوله ما فى حل لحد الان لهذه المشكلة ؟ لان اعتقد لو كان فى طريقة كانت هذه المواقع اول من استخدمتها





    __________________
    - حسابى على فيسبوك --> هنا
    - لطلبات تعريب السكربتات والقوالب & التعديلات البرمجية ---> MtRp@live.com


  2. #2
    عضو سوبر نشيط
    تاريخ التسجيل
    Jun 2003
    المشاركات
    789


    كنت اواجه نفس هذى المشكله سابقاً في المواقع إلى كنت ابرمجها،

    الطريقة المثلي هي بعمل هاش "hash"، يتم تغيره مع كل تحديث بحيث حتى لو كان لديك الكزكيز كامل من دون هذا الهاش لن تستطيع الدخول وسيتم تدمير الكوكيز بالكامل، وأيضاً تستطيع وضع الهاش هذا في session او في قاعده البيانات





    __________________
    متى استعبدتم الناس وقد ولدتهم أمهاتهم أحرار........
    -----------------------------------
    شبكة الشعر الادبيه

  3. #3


    هناك يالغالي طرق لحماية الكوكيز اولا ، فهناك من يشفرها ، وهناك من يضع بداخلها كود معين ويشفرها ، وهناك من يقوم بعمل لها سيرياليز قبل وضع المعلومات بالكوكيز ، وبعضهم يقوم بعمل كل السابق ...

    وثانيا هناك طرق للتأكد من الكوكيز ، فمن غير المعقول في مشاريع كبرى أن يتم التأكد فقط من وجود الكوكيز أو السيشن !! ، لكن يجب التأكد من قيمة هذا الكوكيز او السيشن ، وبالتالي يتم زيادة نسبة الأمان ...
    إضافة :: درس أعجبني : http://www.traidnt.net/vb/showthread.php?t=1640164

    ولا يغرك كبر الموقع أو صغره ، فقد تجد مبرمج برمج سكربت بسيط قام بحمايته أكثر من أكبر المشاريع


    تحياتي لك





    __________________
    زورونا في موقع الحياة للنقاشات والأسئلة والأجوبة :
    - php >> وهو لحل مشاكل php وما حولها
    - Ideas >> وهو لعرض الأفكار وتقييمها وايضا لمناقشة الأفكار

  4. #4


    كنت اواجه نفس هذى المشكله سابقاً في المواقع إلى كنت ابرمجها،

    الطريقة المثلي هي بعمل هاش "hash"، يتم تغيره مع كل تحديث بحيث حتى لو كان لديك الكزكيز كامل من دون هذا الهاش لن تستطيع الدخول وسيتم تدمير الكوكيز بالكامل، وأيضاً تستطيع وضع الهاش هذا في session او في قاعده البيانات
    شكرا لك
    حلوة الفكرة وراح اجرب تطبيقها
    هناك يالغالي طرق لحماية الكوكيز اولا ، فهناك من يشفرها ، وهناك من يضع بداخلها كود معين ويشفرها ، وهناك من يقوم بعمل لها سيرياليز قبل وضع المعلومات بالكوكيز ، وبعضهم يقوم بعمل كل السابق ...

    وثانيا هناك طرق للتأكد من الكوكيز ، فمن غير المعقول في مشاريع كبرى أن يتم التأكد فقط من وجود الكوكيز أو السيشن !! ، لكن يجب التأكد من قيمة هذا الكوكيز او السيشن ، وبالتالي يتم زيادة نسبة الأمان ...
    إضافة :: درس أعجبني : http://www.traidnt.net/vb/showthread.php?t=1640164

    ولا يغرك كبر الموقع أو صغره ، فقد تجد مبرمج برمج سكربت بسيط قام بحمايته أكثر من أكبر المشاريع


    تحياتي لك
    اهلا بك اخى عبدالله
    الغريب ان الكوكيز اصلا كان مشفر وبهذا الشكل
    88ff0a56c51c29a80281cc5ba1858176f19c5eda3272df1e5ea3ca01e3bb2f7c
    راج اجرب على مواقع كبيرة مثل paypal و رابيدشير
    وجارى الاطلاع على الدرس ..
    شكرا لك





    __________________
    - حسابى على فيسبوك --> هنا
    - لطلبات تعريب السكربتات والقوالب & التعديلات البرمجية ---> MtRp@live.com

  5. #5
    عضو نشيط جدا
    تاريخ التسجيل
    Jul 2008
    المشاركات
    427


    حتى أنا قد إسخدمت الموقع بالامس، وحملت منه ملف
    ثم أردت تحميل ملف آخر، فقال لي إنتظر 15 دقيقة، والعد التنازلي يعمل

    فقمت بمشاهدة الكوكيز في الموقع (فأنا أستخدم إضافة الفايرفوكس لمطوري المواقع Web Developer)
    فقمت بتعديل حوالي 3 كوكيز، مسجل فيهم رقم الآي بي الخاص بي، فقمت بتغيير رقم واحد فيهم جميعاً
    عدت لتحميل الملف و تم التحميل :nice:

    تعجبت من ضعف الحماية، المفترض ان يقارن الآي بي الخاص بي
    لا أن يأخذ الآي بي ويضعه في كوكيز، ثم يقارن الآي بي الذي في الكوكيز مع الذي في القاعدة






  6. #6
    عضو جديد
    تاريخ التسجيل
    Apr 2010
    المشاركات
    23


    هناك حلول للتصدي لمثل هذه السرقات كما ذكر الاخوان ولكن من كلام البعض يبدو لي ان طريقه برمجه الموقع ضعيفه ومستوى الحمايه فيه ليس قوي...يمكنكم مراسله اصحاب الموقع وارسال تقرير عن هذه المشكله





    __________________
    مع تحيات بو غدير
    Zend Certified Engineer

  7. #7


    لم أجد أفضل من إستخدام الجلسات مع قاعدة البيانات !






  8. #8
    عضو نشيط جدا
    تاريخ التسجيل
    Jul 2008
    المشاركات
    427


    لم أجد أفضل من إستخدام الجلسات مع قاعدة البيانات !
    نعم أنا أستخدم الجلسة مع القاعدة

    حيث انه في كل مرة يقوم بتسجيل الدخول، أقوم بإعطائه كود
    يتم تخزينة في القاعدة والسيشن، وفي كل مهمة، إضافة حذف غيره
    أقوم بمقارنة رقم العضوية والكود المسجل لها في القاعدة مع رقم العضوية والموجودة والسيشن






  9. #9
    عضو نشيط
    تاريخ التسجيل
    May 2010
    المشاركات
    76


    بيتهيالى يا جماعة والعلم عند الله
    ان المشكله مش فى ان الموقع حمايته ضعيفه
    او لا هوه ايوه ممكن يستخدم اكتر من طريقه للحمايه

    بس انا بشكك فى طريقة انه يقارن الاى بى

    لان لو عملت تذكرنى فى اى موقع من المواقع

    مش من الصح انه يقارن الاى بى لان انت اصلا الاى بى بتاعك

    dynamic لانه اى بى منزلى مش سيرفر يعنى شغال على
    ip pool بمعنى انك كل ما تعمل ريستارت للروتر الاى بى ها يتغير

    وبكدا التذكر ها يطير و فى مراكز التحميل اللى زى هوت فيل يهمها

    ان المستخدم يفضل مسجل لان عملية تسجيل الدخول المستمر دى ممله شويه

    بالنسبه للمستخدم

    اما بالنسبه لنقطة انه يستخدم سيريال يتغير بكل مره بيدخل فيها هيه خطوه جميله

    بس لو الشخص اخد السيشن ودخل بيه قبل ما يتغير يبقى كدا ها يتغير لصالحه هوه

    وبكدا صاحب الحساب هوه اللى ها يسجل دخول تانى

    بس هيه خطوه جميله

    اسف على الاطاله بس حبيت اشارك بافكارى





    __________________
    Mahmoud Abd El-Hamed
    Web Developer
    Mobile: +2 0192565454
    E-mail: admin(at)developspot.com
    Site: ( رابط ) http://developspot.com

  10. #10
    عضو نشيط جدا
    تاريخ التسجيل
    Jul 2008
    المشاركات
    427



    اما بالنسبه لنقطة انه يستخدم سيريال يتغير بكل مره بيدخل فيها هيه خطوه جميله

    بس لو الشخص اخد السيشن ودخل بيه قبل ما يتغير يبقى كدا ها يتغير لصالحه هوه

    وبكدا صاحب الحساب هوه اللى ها يسجل دخول تانى
    :nice:






  11. #11
    عضو فعال
    تاريخ التسجيل
    Jul 2003
    المشاركات
    1,576


    وكيف يتم سرقة الكوكيز ؟

    قم باغلاق موقعك من ثغرات ال XSS وبالتالي لن توجد طريقة لسرقة الكوكيز الا من خلال جهاز العضو مباشرة ( كوبي وبيست )





    __________________
    SWF Thumbnail - tweet me

  12. #12
    عضو جديد
    تاريخ التسجيل
    May 2010
    المشاركات
    8


    السلام عليكم الحل بسيط وبلا تعقيد هو استخدام
    كود PHP:
    Httponly 
    والطريقة هي باضافة
    NULL,NULL,NULL,TRUE
    الى دالة انشاء الكوكيز وبهدا يتم تفعيل
    كود PHP:
    Httponly 
    وفائدة هده الخاصية هي اخفاء بيانات الكوكيز عن المتصفح
    مثال
    كود PHP:
    setcookie("my","me",time()+3600,NULL,NULL,NULL,TRUE); 
    وسيحل المشكل ان شاء الله
    وفقك المولى






  13. #13
    عضو نشيط
    تاريخ التسجيل
    Apr 2010
    المشاركات
    119


    شكرا للافادة










ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا|شقق للايجار في الكويت | بيوت للبيع في الكويت | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض