تعالوا يا أهل سوالف نخترق هذا الموقع!

[swa52]

السلام عليكم

عنوان مثير لمشاركتي, وأتمنى أن تكون مشاركة مثيرة ومفيدة للجميع.
ماهو الموقع الذي يجب أن نخترقه, ولماذا؟

طبعاً, لن نخترق موقعاً ونهين أحد إن شاء الله.
لكن أقترح أن نعمل حقل تجارب على:
موقع محمي جداً.

ونكتب ماهي طرق حمايته, فمثلاُ أنا قرأت أن هذه التعليمة مفيدة جداً في إلغاء عمل الشل c99.php إذا أضيفت لل هتاكسس

<Files "c99.php">
deny from all
</Files>

وقرأت أيضاً أن أحد دكاترة الجامعة الأجانب قال: أنا أحصل على أموال جيدة إذا اخترقت موقعاً معروفا وأشرت عليه للشركة.

يمكن أن نشترك في مواقع الهكر لمتابعة آخر تطوراتهم ونقلها إلى هنا.

إذن:
اتمنى أن نشتري موقعاً ونحميه, ثم نعطي جائزة لمن يخترقه!
أي نتحول إلى قسمين:
فريق حماية, وفريق اختراق.

وأنا على استعداد لأن اشارك في الدفع مادياً بقيمة تقريبة 25 دولار لهذا المشروع.

فما رأيكم؟

[سليمان عبدالعزيز]

وعليكم السلام
أولا أعلق من الجوال فاسمحلي ما أقدر أناقش كثبر لكن لي عوده إذا دخلت من جهاز
الأمر إلي حظيته عباره عن شل نقدر نغير اسمه وبيشتعل الحمايه الأكبر من السيرفر
أما بخصوص الدكتور الأجنبي
لأن فالخارج فيه اهتمام سبق وراسلت وزارة سعوديه ولا أي تعبير وبعد ماتم اختراقهم مرتين غيرو البرمجه
وقبل 4 أيام رأسلت سامبا عن ثعره بسيظه لكن لزيادة الأمان. يفضل اغلاقها وولان لايوجد أي تغير أو أي رد منهم

[ماجيك اعلان]

بصراحه ودي احصل شخص ثقه
اعرض عليه موقعي ويقلي وين ممكن يخترق
عشان انا اعزز الحمايه
بس خوفي يخليني فار تجارب كل يوم يخترق الموقع

[عبدالله أبولبن]

الصراحة فكرة أعجبتني ، ولكن يجدر بي الذكر انه الفكرة المحورية اعجبتني ولكني طورتها كالتالي :

>> نقوم بالتواصل مع أصحاب مشاريع عربية كبرى ( في امثلة كثييرة مثل : 1000مزاد - تويت ايميل للأخ صالح الزيد - نظف - .... إلى اخره من المشاريع المتنوعة ) ، ويقوم مجموعة بتجربة الاختراقات ، ويقوم كل مخترق بكتابة تقرير كامل عن الأخطاء التي وجدها ، الثغرات ، اشباه الثغرات يعني ليست ثغرة ولا يمكن الاختراق ولكن هي قد تستغل ، ويقدمه لصاحب المشروع ، ويتم دفع مبلغ معين له من اما صاحب المشروع أو المتبرعين ، وبعدها قبل الانتقال للمشروع الآخر نعطي الملاحظات لصاحب المشروع ، ويقوم بالتأكد ومن ثم يتم التجربة مرة اخرى على مشروع اخر ، وهكذا نفيد ونستفيد فبالنهاية الذي سنجدها عبارة عن تقارير ومستندات متعددة لثغرات متنوعة منها ما هو معروف لدينا ومنها ما لم يتم معرفته بعد ....

يجب تعديل الفكرة إلى هذا الشكل ، أما أن نقوم ببناء موقع جديد ، ومن ثم نخترقه فهذا لن يفيد كثييرا ...

واحب اوضح ، انه الاختراق يتم بطريقتين :

1- السيرفر وهي الأخطر ، فإن حصل على روت السيرفر يستطيع الدخول إلى اي مكان يريده ، وبالتالي يستطيع اختراق المواقع التي عليه ، وبذلك تحتاج لخبير حماية سيرفرات ...

2- البرمجيات الموجودة على السيرفر : وهذه تأتي بالمرتبة الثانية من حيث الخطورة ، فهناك برمجيات للأسف اما انها تمت بشكل سريع او انها برمجت من قبل مبتدأين ، وبالتالي تجد بها عدة ثغرات مثل عدم حماية المدخلات وعدم تأمين الاستدعاءات ! ، فبهذه يتم الاختراق بسهولة وبعدها يتم الوصول للروت من خلال البرمجيات ...

وان شاء الله إن كان هناك فرصة سأكون من المشاركين

تحياتي لكم

[عبدالله أبولبن]

@ماجيك اعلان

اهلا يالغالي ، كيف صحتك ان شاء الله تمام ...

بالنسبة لتأمين موقعك وفحصه فعليك :

1- التأكد من حماية السيرفر إن كنت على سيرفر خاص بك او vps ، ويمكنك الاستعانة بخبراء السيرفرات مثل أنس عاطف صاحب شركة rowaad.com.sa ، او احد الموثوقين لديك إن كنت تعرف أحدهم ، فيقوم بضبط السيرفر وحمايته .. فهكذا ضمنت 70 - 80 % من الحماية

2- التأكد من البرمجيات المركبة على سيرفرك ، فمثلا لديك 5 سكربتات ، يجب عليك مراجعتها وفحصها والتأكد من سلامتها ، وتتأكد من تأمينها لكل الثغرات ...

وبعدها نام وانت مرتاح ، ولا تحتاج لأي شخص ليفحص ، فلن يستطيع بعدها احدهم الاختراق

تحياتي لك

[سليمان عبدالعزيز]

@ماجيك اعلان

اهلا يالغالي ، كيف صحتك ان شاء الله تمام ...

بالنسبة لتأمين موقعك وفحصه فعليك :

1- التأكد من حماية السيرفر إن كنت على سيرفر خاص بك او vps ، ويمكنك الاستعانة بخبراء السيرفرات مثل أنس عاطف صاحب شركة rowaad.com.sa ، او احد الموثوقين لديك إن كنت تعرف أحدهم ، فيقوم بضبط السيرفر وحمايته .. فهكذا ضمنت 70 - 80 % من الحماية

2- التأكد من البرمجيات المركبة على سيرفرك ، فمثلا لديك 5 سكربتات ، يجب عليك مراجعتها وفحصها والتأكد من سلامتها ، وتتأكد من تأمينها لكل الثغرات ...

وبعدها نام وانت مرتاح ، ولا تحتاج لأي شخص ليفحص ، فلن يستطيع بعدها احدهم الاختراق

تحياتي لك

اخوي عبدالله كفيت ووفيت
لكن احب ازيد على ما قلت بـ .. المتابعه بإستمرار ماهو اليوم حمينا وسوينا كل شي خلاص نام وانت مرتاح
فيه ثغرات وكل يوم جديد بعالم الهكر وعالم الأمن والحماية ...
واحب ازيد حماية الجهاز ...
ونعتبرها مع نقاط اخوي عبدالله نقطه ثالثه

[خلايا]

بصراحه ودي احصل شخص ثقه
اعرض عليه موقعي ويقلي وين ممكن يخترق
عشان انا اعزز الحمايه
بس خوفي يخليني فار تجارب كل يوم يخترق الموقع

اخي العزيز اذا كنت انت مهتما يمكنك الدخول للرابط الذي بتوقيعي الخاص بـ Hacker Simulation

بالتوفيق

[Damas]

خطرت على بالي فكره اقتباس من موضوعك طبعا

هل يمكن ان ننفذ امر مشابه الى الذي ذكرته بموضوعك ويكون على الشكل التالي

بدلا من هذا الكود
<Files "c99.php">
deny from all
</Files>

يكون بهذا الشكل يعني يمنع الأكسس لجميع ملفات php
طبعا انا وضعت علامة * واقصد بها جميع ملفات php لكن لا اعلم هل هي صحيحة ام خطأ المهم القصد من الفكره

<Files "*.php">
deny from all
</Files>

ولكن بشرط يعمل Allow او استثناء لملفات معينة نحددها نحن كمثال

مثلا

<Files "*.php">
deny from all
Allow: index.php
Allow: showthread.php
Allow: forumdisplay.php
Allow: showpost.php
Allow: private.php
Allow: profile.php
Allow: poll.php
</Files>



ملاحظة: الكود اعلاه وضعته لتوضيح الفكرة فقط ويحتاج الى اهل الخبره ليكون صحيح

انتظر التصحيح منكم او اي اقتراح

[fisher762]

فكرة حلوة ومفيدة روح يكون فيها تفاعل جماعي من الاعضاء

انا جاهز للمشاركة

[اسلام مصطفي]

الفكرة جميلة و مفيدة و لكن في أشخاص مبتدئين في البرمجة مثلي لا يعرفون كيفية ايجاد ثغرة و استغلالها

مثلاً : هناك ثغرة XLS تقريباً في حقول ادخال اسم المستخدم او الباسور لذلك يجب حمايتها عن طريق htmlspecialchars أو اي دالو اخري للحماية .

لكن المشكلة في طريقة استغلالها !!!! لا يوجد عندي أي خلفية .

و السؤال الأهم هل تعليم الحماية و الاختراق لمن يريد هو شئ جيد ام ربما يسبب مشاكل و ارتفاع في نسبة محاولات اختراق المواقع ؟

[سليمان عبدالعزيز]

خطرت على بالي فكره اقتباس من موضوعك طبعا

هل يمكن ان ننفذ امر مشابه الى الذي ذكرته بموضوعك ويكون على الشكل التالي

بدلا من هذا الكود
<Files "c99.php">
deny from all
</Files>

يكون بهذا الشكل يعني يمنع الأكسس لجميع ملفات php
طبعا انا وضعت علامة * واقصد بها جميع ملفات php لكن لا اعلم هل هي صحيحة ام خطأ المهم القصد من الفكره

<Files "*.php">
deny from all
</Files>

ولكن بشرط يعمل Allow او استثناء لملفات معينة نحددها نحن كمثال

مثلا

<Files "*.php">
deny from all
Allow: index.php
Allow: showthread.php
Allow: forumdisplay.php
Allow: showpost.php
Allow: private.php
Allow: profile.php
Allow: poll.php
</Files>



ملاحظة: الكود اعلاه وضعته لتوضيح الفكرة فقط ويحتاج الى اهل الخبره ليكون صحيح

انتظر التصحيح منكم او اي اقتراح

إذا فيه مجلد واحد بس مصرح هذا الحركه غير مجديه اشوفها ابداً
لو فيه مجلد مصرح 777 ارفع هاتكسس فاضي وبيختفي الكود وارجع ارفع الشل
هذا طريقه اولى والطريقه الثانيه
مثلا المجلد مصرح 777 وفيه poll.php .. حلو ارفع الشل بأسم poll.php وراح ينحذف الملف القديم ويحل محله الشل ...

[مجود الحفر]

بكل بساطه

1- موقع على سيرفر
2- القليل من السكربتات والاكتفاء بواحد أو اثنين مع تغيير المسارات ملفات وتغيير اسماء الجداول بالقاعدة - وينصح في برمجة خاصة
3- حماية جهازك (الديب فرز+ برنامج حماية) عدم تحميل اي برنامج الا من الشركة الرئيسية
4- متابعة كل جديد (متابعة ثغرات السيرفرات + طرق اختراق الأجهزة+ ثغرات المتصفحات)




نسبة الأختراق 1%

[Damas]

اشكرك اخي سليمان عبدالعزيز على التوضيح


شكرا واسف للخروج عن الموضوع

[swa52]

مشكورين جميعا
يبدو اننا بدأنا نستفيد ونفيد الاخرين بعون الله

قكرة الاح داماس حلوة
لكن رد الاخ سليمان عبدالعزيز اوضح ان الفكرة غير مجدية

وبقيت المشكلة في كيفية رفع الشل وكيف يمكن منعه او حمايته؟

وقد لاحظت مؤخرا ان بعض الشركات تسمح لرفع الصور الى مجلدات معينة دون تصريح 777 بشرط ان يكون سكريبت الرفع داخل السيرفر وليس من خارجه, فهل ملاحظتي صحيحة؟

[خالد الحربي]

متابع للموضوع ..

اتمنى تعطونا الطرق الفعاله لقتل الشل من غير مانأثر على برمجيات السيرفر

وشكرا لكم