بأختصار من خلال خبرتي المتواضعه فى عالم الويب
من خلال تجاربي فى اكتشاف ثغرات المواقع وتحذير اصحابها
3 اشياء تقف فى طريقي !!
1- تغيير مسار لوحه تحكم الاسكربت مع منع ارشفه صفحاته عن طريق قوقل
ببساطه اذا غيرت مسار لوحه التحكم للموقع لكن سمحت لقوقل يأرشفها ولا كأنك سويت شىء
عن طريق قوقل
site:xxx.com intext: password
site:xxx.com inurl: admin
هنا استطيع اضع الموقع المستهدف
Password مجرد كلمه موجود فى كل لوحه تحكم او يوزر نيم او كلمه السر او ادمن او ادمنتستراتو
Password , admin , administator , login , username , مجرد كلمات اي حد يقدر يستطيع تخمينها وعن طريقها اقدر اجيب مسار لوحه التحكم لو انت سامح لقوقل بأرشفه الصفحه فقوقل هايجيب لي كل صفحات موقعك الى بتحتوي علي الكلمه الى انا بحددها وبكدا بوصل لمسار اللوحه بسهوله !!
اذن نغير مسار لوحه التحكم .. وعمل اسم غير متوقع للمجلد donttry whyy اي شىء ما يجي علي بال المخترق ... نمنع قوقل وغيرهم من أرشفه المجلد
2- نضع حمايه علي لوحه التحكم .. .htaccess بفرض المخترق وصل لمسار اللوحه لكن مشكله كبيره لما بنلاقى اللوحه عليها حمايه
مثلا
http://elbehira.net/elbehira/admin4 هذا الموقع مليان ثغرات وللاسف حاولت اراسل صحبه ماهو هنا علي اي حال صعب اختراقه
شوفنا هو مسوي لوحه التحكم مسارها ايه !!
admin 4
بسهوله قدرت اوصل لها لكن لما دخلت اللوحه لقيت
معظم ثغرات المواقع مش بتسمح برفع شل لكن بتكون عن طريق حقن قواعد البيانات
لما بندخل لوحه تحكم والمخترق يشوف دا يجيله حاله صدمه لانه لازم يخترق موقع علي نفس السرفر ويرفع shell عليه عشان يقدر يدخل لوحه تحكم موقعك !!
3- Hash وهو اننا نشفر الارقام السريه md5
ومش كدا وبس مش اي رقم سري تستخدمه !!
123456 سهل يتفك
اسمك سهل يتفك
لكن لما يكون فى حروف كابتل وسمول
ارقام وحروف
بيبقى شىء صعب جدا علي المخترق انه يفكه
مثلا
#@#(!Sw&*lif@93
حاجه زي كدا من الصعب فكها مش بسهوله !!
وكل ما تعقد الرقم السري بيكون احسن واحسن
اعتقد دول من اكثر المشاكل الى بتقابل اي مخترق فى اختراق اي موقع مصاب SQL INJ
تحياتي
رد مع اقتباس
