 |
السلام عليكم
وانا اتصفح منتدى اجنبى امس وجدت شخص ينشر كوكيز ل 10 حسابات فى موقع hotfile.com
فحملت الكوكيز ونزلت اضافة تعديل الكوكيز للفايرفوكس وعدلت الكوكيز وعملت تحديث للصفحة ووجدت انى داخل لوحة التحكم الخاصة به
والغريب ان الكوكيز اتسجل ب ip الخاص بى
معقوله ما فى حل لحد الان لهذه المشكلة ؟ لان اعتقد لو كان فى طريقة كانت هذه المواقع اول من استخدمتها
__________________
- حسابى على فيسبوك --> هنا
- لطلبات تعريب السكربتات والقوالب & التعديلات البرمجية ---> MtRp@live.com
كنت اواجه نفس هذى المشكله سابقاً في المواقع إلى كنت ابرمجها،
الطريقة المثلي هي بعمل هاش "hash"، يتم تغيره مع كل تحديث بحيث حتى لو كان لديك الكزكيز كامل من دون هذا الهاش لن تستطيع الدخول وسيتم تدمير الكوكيز بالكامل، وأيضاً تستطيع وضع الهاش هذا في session او في قاعده البيانات
__________________
متى استعبدتم الناس وقد ولدتهم أمهاتهم أحرار........
-----------------------------------
شبكة الشعر الادبيه
هناك يالغالي طرق لحماية الكوكيز اولا ، فهناك من يشفرها ، وهناك من يضع بداخلها كود معين ويشفرها ، وهناك من يقوم بعمل لها سيرياليز قبل وضع المعلومات بالكوكيز ، وبعضهم يقوم بعمل كل السابق ...
وثانيا هناك طرق للتأكد من الكوكيز ، فمن غير المعقول في مشاريع كبرى أن يتم التأكد فقط من وجود الكوكيز أو السيشن !! ، لكن يجب التأكد من قيمة هذا الكوكيز او السيشن ، وبالتالي يتم زيادة نسبة الأمان ...
إضافة :: درس أعجبني : http://www.traidnt.net/vb/showthread.php?t=1640164
ولا يغرك كبر الموقع أو صغره ، فقد تجد مبرمج برمج سكربت بسيط قام بحمايته أكثر من أكبر المشاريع
تحياتي لك
__________________
زورونا في موقع الحياة للنقاشات والأسئلة والأجوبة :
- php >> وهو لحل مشاكل php وما حولها
- Ideas >> وهو لعرض الأفكار وتقييمها وايضا لمناقشة الأفكار
شكرا لك
حلوة الفكرة وراح اجرب تطبيقها
اهلا بك اخى عبداللههناك يالغالي طرق لحماية الكوكيز اولا ، فهناك من يشفرها ، وهناك من يضع بداخلها كود معين ويشفرها ، وهناك من يقوم بعمل لها سيرياليز قبل وضع المعلومات بالكوكيز ، وبعضهم يقوم بعمل كل السابق ...
وثانيا هناك طرق للتأكد من الكوكيز ، فمن غير المعقول في مشاريع كبرى أن يتم التأكد فقط من وجود الكوكيز أو السيشن !! ، لكن يجب التأكد من قيمة هذا الكوكيز او السيشن ، وبالتالي يتم زيادة نسبة الأمان ...
إضافة :: درس أعجبني : http://www.traidnt.net/vb/showthread.php?t=1640164
ولا يغرك كبر الموقع أو صغره ، فقد تجد مبرمج برمج سكربت بسيط قام بحمايته أكثر من أكبر المشاريع
تحياتي لك
الغريب ان الكوكيز اصلا كان مشفر وبهذا الشكل
88ff0a56c51c29a80281cc5ba1858176f19c5eda3272df1e5ea3ca01e3bb2f7c
راج اجرب على مواقع كبيرة مثل paypal و رابيدشير
وجارى الاطلاع على الدرس ..
شكرا لك
__________________
- حسابى على فيسبوك --> هنا
- لطلبات تعريب السكربتات والقوالب & التعديلات البرمجية ---> MtRp@live.com
حتى أنا قد إسخدمت الموقع بالامس، وحملت منه ملف
ثم أردت تحميل ملف آخر، فقال لي إنتظر 15 دقيقة، والعد التنازلي يعمل
فقمت بمشاهدة الكوكيز في الموقع (فأنا أستخدم إضافة الفايرفوكس لمطوري المواقع Web Developer)
فقمت بتعديل حوالي 3 كوكيز، مسجل فيهم رقم الآي بي الخاص بي، فقمت بتغيير رقم واحد فيهم جميعاً
عدت لتحميل الملف و تم التحميل :nice:
تعجبت من ضعف الحماية، المفترض ان يقارن الآي بي الخاص بي
لا أن يأخذ الآي بي ويضعه في كوكيز، ثم يقارن الآي بي الذي في الكوكيز مع الذي في القاعدة
هناك حلول للتصدي لمثل هذه السرقات كما ذكر الاخوان ولكن من كلام البعض يبدو لي ان طريقه برمجه الموقع ضعيفه ومستوى الحمايه فيه ليس قوي...يمكنكم مراسله اصحاب الموقع وارسال تقرير عن هذه المشكله
__________________
مع تحيات بو غدير
Zend Certified Engineer
لم أجد أفضل من إستخدام الجلسات مع قاعدة البيانات !
نعم أنا أستخدم الجلسة مع القاعدة
حيث انه في كل مرة يقوم بتسجيل الدخول، أقوم بإعطائه كود
يتم تخزينة في القاعدة والسيشن، وفي كل مهمة، إضافة حذف غيره
أقوم بمقارنة رقم العضوية والكود المسجل لها في القاعدة مع رقم العضوية والموجودة والسيشن
بيتهيالى يا جماعة والعلم عند الله
ان المشكله مش فى ان الموقع حمايته ضعيفه
او لا هوه ايوه ممكن يستخدم اكتر من طريقه للحمايه
بس انا بشكك فى طريقة انه يقارن الاى بى
لان لو عملت تذكرنى فى اى موقع من المواقع
مش من الصح انه يقارن الاى بى لان انت اصلا الاى بى بتاعك
dynamic لانه اى بى منزلى مش سيرفر يعنى شغال على
ip pool بمعنى انك كل ما تعمل ريستارت للروتر الاى بى ها يتغير
وبكدا التذكر ها يطير و فى مراكز التحميل اللى زى هوت فيل يهمها
ان المستخدم يفضل مسجل لان عملية تسجيل الدخول المستمر دى ممله شويه
بالنسبه للمستخدم
اما بالنسبه لنقطة انه يستخدم سيريال يتغير بكل مره بيدخل فيها هيه خطوه جميله
بس لو الشخص اخد السيشن ودخل بيه قبل ما يتغير يبقى كدا ها يتغير لصالحه هوه
وبكدا صاحب الحساب هوه اللى ها يسجل دخول تانى
بس هيه خطوه جميله
اسف على الاطاله بس حبيت اشارك بافكارى
__________________
Mahmoud Abd El-Hamed
Web Developer
Mobile: +2 0192565454
E-mail: admin(at)developspot.com
Site: ( رابط ) http://developspot.com
:nice:
اما بالنسبه لنقطة انه يستخدم سيريال يتغير بكل مره بيدخل فيها هيه خطوه جميله
بس لو الشخص اخد السيشن ودخل بيه قبل ما يتغير يبقى كدا ها يتغير لصالحه هوه
وبكدا صاحب الحساب هوه اللى ها يسجل دخول تانى
وكيف يتم سرقة الكوكيز ؟
قم باغلاق موقعك من ثغرات ال XSS وبالتالي لن توجد طريقة لسرقة الكوكيز الا من خلال جهاز العضو مباشرة ( كوبي وبيست )
السلام عليكم الحل بسيط وبلا تعقيد هو استخدام
والطريقة هي باضافةكود PHP:Httponly
NULL,NULL,NULL,TRUE
الى دالة انشاء الكوكيز وبهدا يتم تفعيل
وفائدة هده الخاصية هي اخفاء بيانات الكوكيز عن المتصفحكود PHP:Httponly
مثال
وسيحل المشكل ان شاء اللهكود PHP:setcookie("my","me",time()+3600,NULL,NULL,NULL,TRUE);
وفقك المولى
شكرا للافادة
ضوابط المشاركة
رد مع اقتباس
المشاركة الأصلية كتبت بواسطة ArabCoders 
