صفحة 1 من 4 1234 الأخيرةالأخيرة
النتائج 1 إلى 15 من 52

الموضوع: احترف اختراق المواقع:)

  1. #1
    عضو نشيط
    تاريخ التسجيل
    May 2002
    المشاركات
    36

    احترف اختراق المواقع:)



    بسم الله الرحمن الرحيم
    السلام عليكم ورحمة الله وبركاتة

    شكلك تقول الموضوع في وادي والعنوان في وادي
    صدقني المجال واحد

    في الحقيقة خطرت لي فكرة رائعة وهي كالتالي يكتب العضو كود بشرط ان لايتجاوز 10 اسطر
    وفي هذا الكود ثغرة برمجية وليس خطأ مطبعي بمعنى
    ان في هذا الكود خلل بحيث لو استغل هذا الخلل يستطيع ان يسرق معلومات من النظام او او ......................الخ
    ويعطي فرصة للآخرين (الاعضاء) ليقوموا بإستنتاج الخطأ
    بحيث من يحل اللغز يستلم المهمة ويكتب موضوع بلغز جديد
    وهكذا


    شروط مهمة
    =============
    1- الكود يكون بلغة php (وقد اخترتها لعدة اسباب)
    لان اغلب برامج الانترنت والسكربتات مبنية على تلك اللغة
    و لانها لغة مرنة وكذلك نزيد من خبرتنا في هذه اللغة
    2- ان يكون الكود من استنتاجة وليس كود ثغرة معروفة
    3-اذا لم يعرف الخلل في الكود يكتب صاحب الموضوع الخلل وكيفية استثماره بشرط اذا كان المطالبين بمعرفة الخلل وكيفية استثماره 3 اشخاص او اكثر ثم يكتب صاحب الموضوع نفسه كود اخر وهكذا
    4- لابد ان يكون لدى كاتب الكود كيفية استثماره عمليا وليس نظريا لزيادة المعرفة
    5- نفرض ان الكود هذا موجود في برنامج والبرنامج هذا شغال عليه الرووت.
    6- انا لااتكلم عن الخلل في طفح الذاكرة ولكن اتكلم عن الخلل الذي يحدث بسبب سوء البرمجة او ضعفها لدى المبرمج نفسه
    7- بناء على ملاحظة رقم 6 اذن تنفيذ الاستثمار نريده عن طريق المتصفح








    نبدأ في الكود الاول







    <?
    if ($action=="do")
    {
    include($too);
    }
    ?>



    اين الخلل وكيف يتم استثماره مع شرح ذلك







    (تم الاستعانة بهذا اليوزر لان التسجيل موقف)





    SUP911 غير متواجد حالياً


  2. #2


    السلام عليكم

    الصراحة فكره حلو وبتفيد الكثير جدا في كسب الخبر وتبادل المعلومات واتمنى اشوف اقبال على هذا الموضوع ...... هذا لو في من يبحث عن تطوير نفسه ..................

    انا ماعندي خبرة بالـPHP ...... ولا كنت شاركة .........
    وبالتوفيق للجميع


    وشكرا





    __________________
    موت الصالح راحة لنفسه * وموت الطالح راحة للناس
    مسالم2002 غير متواجد حالياً

  3. #3

    تاريخ التسجيل
    May 2001
    المشاركات
    3,294


    مع اني غير ضليع في البرمجة وهي في وادي وانا في وادي الا اني اتوقع الثغره في هالكود
    <?
    if ($action=="do")
    {
    include($too);
    }
    ?>
    هي انه غير مكتمل .. ناقص دالة else لانه راح ينفذ العمليه سواء do او غيره

    يمكن صح .؟





    __________________
    استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور
    Net Hunter غير متواجد حالياً

  4. #4
    فضلاً اكتب اسمك الحقيقي هنا
    زائر


    واضح جداً و خطير






  5. #5
    عضو فعال
    تاريخ التسجيل
    Feb 2002
    المشاركات
    1,454


    واضح جدا وخطير





    code4arab غير متواجد حالياً

  6. #6
    عضو نشيط
    تاريخ التسجيل
    May 2002
    المشاركات
    36


    السلام عليكم ورحمة الله وبركاته

    اشكركم لتجاوبكم معي

    اخي
    Net Hunter

    للاسف جواب خاطئ

    الاخ
    كود فور عرب
    و الاخ المراقب العام
    انتم من المدعوين لحل هذا اللغز

    من فيكم يحل اللغز ويستلم مهمة اعطاء كود اخر


    (تم الاستعانة بهذا اليوزر لان التسجيل موقف)





    SUP911 غير متواجد حالياً

  7. #7
    عضو نشيط
    تاريخ التسجيل
    Nov 2002
    المشاركات
    184

    '



    يعطيك الف عافية ياغالي
    والله موضوع جميل وحساس على الاقل يقلل من نسبة الجهل في حماية مواقع العرب وانا اولهم اللي ما عندي اي فكرة عن الاختراق والله والا اكيد ما راح نبخل عليكم
    اتمنى من الجميع التوضيح بالتفصيل اذا امكن

    تحياتي اخوكم
    hajer4des





    __________________
    سَوالف سوْفت.. ألفْ شكر
    دمتِ رمزاً لـ سمَو التعَامل
    CroN!X غير متواجد حالياً

  8. #8
    عضو سوبر نشيط
    تاريخ التسجيل
    May 2001
    المشاركات
    867


    الخطأ في هذا الكود :

    <?
    if ($action=="do")
    {
    include($too);
    }
    ?>

    انه يمكنني تحديد مضمون المتغيرات من المتصفح نفسه ! لكن لماذا هذا يفيد ؟





    __________________


    موقع دبوريه - عرب 48: http://www.dabburiya.net/index.php

    منتدى دبوريه - عرب 48: http://www.dabburiya.net/forums/index.php

    hamudi غير متواجد حالياً

  9. #9
    عضو نشيط
    تاريخ التسجيل
    Jul 2001
    المشاركات
    135


    مرحباً اخي

    الكود فيه خطأ واضح وخطر وهو
    ان المتغير action يمكن ارسال القيمة عن طريق URL ووضع القمة تساوي do
    وبالتالي نصمن الدخول بالبودي للشرط IF وبالتالي فأنه أيضاً يمكن ارسال قيمة too عن طريق ULR والتي تدل على اسم الملف
    فلنفرض انه يوجد ملف اسمه File.txt
    فأن يمكن الزائر او المتصفح الوصول لهذا الملف بالطريقة التالية
    http://www.YOURSITE.com/code.php?action=do&too=file.txt
    حيث ان الملف code.php يحتوي على الكود المكتوب

    وبالتالي فأن يمكن أن نقراء اي ملف.

    وشكراً

    أخوكم الهاوي





    __________________
    إّذ لم تكن ذئب أكلتك الذئاب
    عقاراتي نت للعقارات

    www.aqaraty.net
    alhawi غير متواجد حالياً

  10. #10
    عضو نشيط
    تاريخ التسجيل
    May 2002
    المشاركات
    36


    اخوي
    Hajer4des

    شكرا لك


    اخي
    hamudi

    لم تجب عليه


    اخي

    alhawi

    جواب صحيح 100% ولكن لي ملاحظة بسيطة وهو ان الزائر لايعلم

    هل هذا الملف موجود ولا لا



    ولكن لو كان النظام ويندوز 2000 بروفيشنال ولا سيرفر او اي نظام اخر


    يقدر ينفذ الشفرة التالية بفرض ان هذا الكود موجود في دليل
    c:\intpub\wwwroot\index.php



    الشفرة


    http://www.you.com/index.php?action=...nnt/repair/sam


    وبالتالي يسرق كلمة المرور للمدير ويفك تشفيرها ببرامج فك التشفير
    وبالتالي يصير مدير ذلك النظام

    شكرا لكم






    المهمة الان الى الاخ
    alhawi

    لإعطاء كود اخر





    SUP911 غير متواجد حالياً

  11. #11
    عضو سوبر نشيط
    تاريخ التسجيل
    May 2001
    المشاركات
    867

    اخي SUP911 كيف اني لم اجب على السؤال بشكل صحيح ؟



    انا قلت :

    <?
    if ($action=="do")
    {
    include($too);
    }
    ?>

    انه يمكنني تحديد مضمون المتغيرات من المتصفح نفسه ! لكن لماذا هذا يفيد ؟

    ---------------

    هل كلامي غير مفهوم ؟

    انا قلت بانه يمكنني تحدديد مضمون المتغيرات من المتصفح اي انه :

    action=do وكذلك ادخال اي اسم ملف ل too اي انه too=temp/file.tnt

    لكن هذا لا يفيد !!!!!! حيث انه كيف يمكنني معرفة اذ كان الموقع يستعمل هذا الكود ام لا ! الا اذ كان هذا الكود موجود بسكربت ما وقد نشر قصدا !

    ثانيا يجب ان تكون ارقام الادمين موجوده بملف نص كي استطيع الحصول عليها , واذ كانت بملف نص لا احتاج لمثل هذا الكود

    ؟؟؟؟؟؟؟؟





    __________________


    موقع دبوريه - عرب 48: http://www.dabburiya.net/index.php

    منتدى دبوريه - عرب 48: http://www.dabburiya.net/forums/index.php

    hamudi غير متواجد حالياً

  12. #12
    عضو نشيط
    تاريخ التسجيل
    Jul 2001
    المشاركات
    135


    مرحباً اخوي SUP911

    انا لا يحظرني مثال الان وانا مشغول هذي الايام بالسفر ولهذا اعتذر ولا اريد ان يتوقف الموضوع علي انا ، لهذا ياليت اخوي hamudi يضع مثال بدالي واكون شاكراً لكما .

    وتقبلوا تحياتي
    الهاوي





    __________________
    إّذ لم تكن ذئب أكلتك الذئاب
    عقاراتي نت للعقارات

    www.aqaraty.net
    alhawi غير متواجد حالياً

  13. #13


    السلام عليكم

    زين يا اخوان انتو شرحتو نوع الثغرة ............. بس ما شرحتو لنا الطريقة الانسب لتفادي مثل هذه الاخطاء ..............


    وشكرا





    __________________
    موت الصالح راحة لنفسه * وموت الطالح راحة للناس
    مسالم2002 غير متواجد حالياً

  14. #14
    عضو سوبر نشيط
    تاريخ التسجيل
    Dec 2000
    المشاركات
    998


    أنا أتفق مع الأخ حمودي وأختلف مع SUP911

    فكلام حمودي منطقي

    هناك أشياء ليست ثغرة بالمعنى الحقيقي.

    لأنه يمكنك تنيفذ عدة أوامر في برنامج VB عن طريق المتصفح

    وإليك البرهان

    http://www.swalif.net/softs/newreply...threadid=39376

    غير الرقم إلى

    http://www.swalif.net/softs/newreply...threadid=39377

    http://www.swalif.net/softs/newreply...threadid=39378

    http://www.swalif.net/softs/newreply...threadid=39379

    وهلم جرا

    فأنت ترى أنك نفذت عملية عن طريق الشريط



    الأخ مسالم 2002

    من الأفضل أن تستخدم دالتي $_GET و $_POST

    لأن كثيرا من المزودات تلغي المتغيرات عن طريق المتصفح مثل ما هو في المثال المذكور

    لكنني على استعداد أن أبرمج برنامجا دون أن أستخدم هاتين الدالتين

    بل باستخدام المتغيرات $action==

    فهل يتبرع أحدكم بسرقة المعلومات فيه أو اختراقه؟


    أنا صراحة أريد أن أفهم هذا الكلام الذي يردد .

    فمن يقبل التحدي؟





    __________________
    لا تعاند من إذا قال فعل
    الشنكبوتية
    اللغة العربية سياج هويتنا
    عبد الرحمن غير متواجد حالياً

  15. #15


    السلام عليكم

    اشكرك استاذي

    بس بعدني ما استوعبت جملتك
    ========================
    بل باستخدام المتغيرات $action==
    ========================


    ممكن توضحه لي هل نقطة ولو بمثال لو تكرمت ........ وسامحنا لو كلفنا عليك

    وشكرا





    __________________
    موت الصالح راحة لنفسه * وموت الطالح راحة للناس
    مسالم2002 غير متواجد حالياً





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض