فكرة خفيفة لحماية بعض المواقع من الإختراق

[ولد العودة]

السلام عليكم جميعا ...
احمل اليوم فكرة لحماية موقعك ... أنا مقتنع أن الفكرة ليست عملية بشكل كبير لكنها قد تغطي الى حد كبير ثغرة مهمة في أغلب المواقع وخصوصا تلك الإنشائية أو الإخبارية ...
كما أود أن أوضح أن فكرتي هذه ليست مجدية بشكل كبير مع المواقع التفاعلية مثل المنتديات لكن يمكن تطويع المبدأ بطريقة جيدة لمستخدمي المنتديات ...
فكرتي هذه نعرفها جميعا لكن يبدو أننا نتغافل عنها ... الفكرة لحماية قواعد البيانات ...
لا يخفى عليكم جميعا أن بعض المواقع يتم تحديثها بشكل دوري ..كل يوم .. كل يومين ... كل أسبوع .. وهذه هي المواقع التي نتكلم عنها وهي التي يفيدها هذا الموضوع ...
نبدا######
أدخل لوحة تحكم موقعك ثم ادخل الى PhpMyAdmin بالطبع توجد عدة قواعد بيانات ... نحن نريد حماية احداها ولنضرب مثلا قاعدة بيانات النيوك (لكثرة اختراقها )
الآن يوجد مستخدم تحت قاعدة بيانات النيوك .. ملاحظتي هي على الصلاحيات Privileges المعطاه لهذا المستخدم ... غالبا ماتكون كالتالي
(Privileges: SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, REFERENCES, INDEX, ALTER)
وهذا خطأ فادح في حالة كان المحدث الوحيد للموقع صاحب الموقع ...في هذه الحالة أوصي بوجود مستخدمين اثنين على قاعدة البيانات هذه ... المستخدم الأول هذا اتركه موجودا لاستخدامك الشخصي ..
وقم بإنشاء مستخدم جديد ولا تعطيه من الصلاحيات الا SELECT وهذا لاستخدام زوار الموقع
الآن يجب ان يكون هناك ملفين config ويمكنك تسميتهما كالتالي
config فيه بيانات المستخدم الذي ليس له من الصلاحيات الا SELECT
config1 فيه بيانات المستخدم الذي لديه صلاحية ALL
عندما تريد تحديث أو اضافة مواضيع ومحتويات للموقع قم بتغيير أسماء الملفات واجعل config هو الذي يحتوي المستخدم ALL ثم بعد أن تنتهي من تحديثك أعد أسماء الملفات كما كانت ..
...وبهذا مهما حاول المخترق اختراق قواعد البيانات من خلال ثغرات في الموقع فإن اسم المستخدم الذي يستطيع الوصول اليه ليس له أصلا صلاحية التعديل في قواعد البيانات ... ليس له الا صلاحية القراءة ...
ببساطة هذه هي الفكرة ... أعلم ان البعض لاتناسبهم لكن لمن لايستطيعون سد الثغرات ومواقعهم مهددة هذه الوسيلة ناجعة بإذن الله .
وختاما .. للاخوان الذين يحتاجون أن يستخدمو خاصية الإضافة لهذا المستخدم فإنه بامكانهم اعطاء المستخدم بعض الصلاحيات وليس كلها حيث أن الصلاحيات DELETE, CREATE, DROP, REFERENCES, INDEX, ALTER غير ضرورية للمستخدم العادي وقد تكون ضارة ..
أتمنى أن تكون الفكرة واضحة ...
وتقبلوا تحياتي

[light4arab]

فكرة ممتازة تشكر عليهااااا
شكرا لك

[عبد الله هُربي]

رد مقتبس من light4arab
فكرة ممتازة تشكر عليهااااا
شكرا لك

[ولد العودة]

عفوا ... لاشكر على واجب

[فهد 2000]

أخي ولد العودة
في حالة مجلة النيوك و فيه منتداه المرفق و مسموح فيه إضافة برنامج وإضافة تعليقات لبعض الموديولات , يعني الموقع تفاعلي , فماذا تنصح في اسم المستخدم لقاعدة النيوك مع أن قمت بحذف الموديول المرفق بالمجلة لنسخ القاعدة والذي هو من أهم أسباب سرقة المواقع المستخدمة للنيوك

تحياتي

[zuhair mashat]

ثعلب مكار و ذكي

معي انى لا اعرف في أمور قواعد البيانات

الا ان الفكرة وصلت كفكرة

[إنترنت بلس]

شكرا لك يا أخي .. الفكرة فعلا بسيطة وجميلة ..

[Alshajjar]

فكرة جيدة لحماية النيوك ..

اشكرك ، و آسف لرفع الموضوع

لإن الكثير يسأل عن طرق جديدة للحماية و بالذات للنيوك

تحياتي

[Alrasam]

جزاك الله خير ولد العوده

[illusion]

فكرة جيدة ..

طيب ممكن تعينا مثال للتعديلات اللي من بها اضطر لتبديل الاسماء ...

عندما تريد تحديث أو اضافة مواضيع ومحتويات للموقع قم بتغيير أسماء الملفات واجعل config هو الذي يحتوي المستخدم ALL ثم بعد أن تنتهي من تحديثك أعد أسماء الملفات كما كانت ..

[مسالم2002]

السلام عليكم

الفكرة جميلة ... ولكن ...

ماذا لو كان الثغرة يتم استخدامها عن طريق SELECT نفسه

فهنا اضن ان هذه الحيلة لن تنفع ....

وشكرا

[هيرو]

فكرة رائعــة أخوي .

[r7all]

احمل اليوم فكرة لحماية موقعك ... أنا مقتنع أن الفكرة ليست عملية بشكل كبير لكنها قد تغطي الى حد كبير ثغرة مهمة في أغلب المواقع وخصوصا تلك الإنشائية أو الإخبارية ...
بالعكس بداية الطريق خطوه
ونت بدأت اول خطوه

نتمنى التفصيل في الشرح اكثر

مشكور على جهدك

[العاطفي]

شكرا لك أخوي