صفحة 1 من 2 12 الأخيرةالأخيرة
النتائج 1 إلى 15 من 19

الموضوع: [نقاش] الثغرات الأمنية وطرق تفاديها

  1. #1
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2002
    المشاركات
    2,289

    [نقاش] الثغرات الأمنية وطرق تفاديها



    السلام عليكم ورحمه الله وبركاته


    الحقيقه منذ زمن بعيد والهواجس الأمنية في المواقع والبرامج والبرمجيات العربية خصوصا ..


    وجرت العادة من بعض الأخوان جزاهم الله خيرا على ذكرهم لطرق علاج اي ثغرة امنية دون الأفصاح عن سببها او كيفية حدوثها خوفا على مواقع الاخرين من الأفساد والتخريب .


    ولكنني اعتقد ان هذا السبب يؤجل عملية فتح هذا الباب ويضع الضماده ولا يعالجه .

    خصوصا وان المواقع الاجنبيه قد فتحت عقولها ومصادرها لاي جديد لكي يكون صاحب الموقع على درايه باخر المعلومات والتحديثات الامنية للبرامج والبرمجيات .


    سأنطلق الى نقطه اخرى للحوار وهي البرمجيات العربية

    انا لست ناشطا في البحث عن الثغرات في البرامج العربية ولكنني متأكد ان هنالك نسبه تكاد تصل الى 30 % من البرامج العربية كافضل تفاؤل يوجد بها ثغرات امنية وربما تكون قاتله احيانا


    لدي تساؤلات عديدة
    هل هنالك موقع عربي واحد على الأقل يضع قاعدة بيانات للثغرات الامنية وطرق معالجتها او البرنامج او البرامج التى فيها هذه الثغره او تلك ؟


    لا اعتقد والسبب هو خوف الاخوان جزاهم الله خيرا من وضع اسرار الثغره بيد من لا يخاف الله عزوجل في اموال اخوانه المسلمين


    النقاش مفتوح للجميع واتمنى من لديه مصدر قد يفيدني ان لا يحرمني منه





    المهمة9 غير متواجد حالياً


  2. #2
    مُجَاهِد سابقاً
    تاريخ التسجيل
    Apr 2004
    المشاركات
    12,000


    أتمنى الخوض في النقاش ..





    __________________
    استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور
    عبد الله هُربي غير متواجد حالياً

  3. #3
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2002
    المشاركات
    2,289


    حسنا لماذا لا تناقش وتضع رأيك اخي الكريم مجاهد ؟؟؟؟؟؟؟؟؟؟





    المهمة9 غير متواجد حالياً

  4. #4
    عضو نشيط جدا
    تاريخ التسجيل
    Nov 2001
    المشاركات
    320


    افضل وسيلة اراها لحماية نفسك من ثغرات اي سكريبت تقوم بتركيبه انك تقوم بتغيير كل المتغيرات واسماء الصفحات في السكريبت بذلك تكون قد منعت بنسبة 70-90% من اختراق السكريبت لان كل من يريد تطبيق الثغرة لن يعرف المتغيرات التي قمت بأختيارها .


    اما الوسائل الاخرى كحماية مجلد لوحدة التحكم لسكريبت ، وضع كلمة سر يصعب فك تشفيرها ، فهذه الطرق تم الاسهاب في شرحها ومن اساسيات حماية اي سكريبت .





    __________________
    http://www.swalif.net/softs/
    جامعه العرب الالكترونية
    altibb غير متواجد حالياً

  5. #5
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2002
    المشاركات
    2,289


    حسنا ماذا لو كانت تلك الثغرات مبيته في البرنامج ولا تستطيع اختبارها الا في حالات معينة ..


    انا اتحدث هنا عن المبرمجين وكيف يقوم المبرمج بتفادي الثغرات البرمجية الخطيرة ... او الثغرات البسيطه ولكنها تعتبر ثغرة في الاخر ..



    حديثي يطال الاخوه من لديهم خبرة باختراق المواقع عن طريق البرمجيات فهم اكثر من يتعامل مع الأخطاء البرمجية بذكاء





    المهمة9 غير متواجد حالياً

  6. #6
    عضو فعال جدا
    تاريخ التسجيل
    Oct 2003
    المشاركات
    2,495


    المشكلة تكون في السكربت نفسه
    إذا لاحظت تجد ان جميع السكربتات لديها قاسم مشترك وهو تطابق اسماء الملفات وهذا مايسهل عمل المخترق .
    البرمجة الصحيحة هي تكون اسماء الملفات الفرعية تحوي حروف طويلة او ارقام ورايت في احد المواقع الاجنبيه سكربت للحوار جميع صفحاته تبدأ بارقام مثل

    " a54s5.87445.78.2.985.13022.01.028.178.02.01.php/ "
    وبالتلي يصعب معرفة محتوى الملفات في حالة عدم وضع رابطه لها

    ايضا تجد اغلب السكربتات تحتاج لحماية ملف او مجلد الادمن وقد لايعلم البعض كيفية حمايته وتجد اكثر المواقع تتعرض للعبث من قبل اشخاص تافهين ومنهم صغار السن بسبب عدم دارية صاحب الموقع وإهمال مبرمج السكربت لمثل هذه الثغرات الأمنيه .





    __________________
    عربي وافتخر

    بعض مواضيعي في سوالف سوفت:
    أمير عبدالله غير متواجد حالياً

  7. #7
    عضو فعال جدا
    تاريخ التسجيل
    May 2004
    المشاركات
    4,088


    أخي جرب زيارة مواقع مثل www.securityfocus.com و غيرها و يعني أخي الأمر بحاجة لدراسة يعني يوجد شهادات بمجال الأمن يعني أخي الأمر ليس فقط بقراءة أو غيره يجب البدء به بطريقة علمية يوجد كثير من شهادات الأمن و برأيي هي الطريق الامثل لهذا الأمر و تبقى المواقع للبقاء و الاطلاع على أخر المعلومات بهذا المجال ..
    تحياتي





    __________________
    لاَ اِلَهَ اِلاَّ اَنْتَ سُبْحَانَكَ اِنِّي كُنْتُ مِنَ الظَّالِمِينَ
    Hossam AL-Abdeh غير متواجد حالياً

  8. #8
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2003
    المشاركات
    2,047


    للحماية هناك مستوايان :
    -مستوى الحماية في البرنامج المستعمل ( السكربتات )
    - مستوى الحماية في الhost platform ( الإستضافة )

    على اي مستوى تريدون النقاش ؟

    لي عودة ان شاء الله





    __________________
    -{Only God Can Judge Me}-
    القانون فوق الجميع و الجميع يموت بالجوع
    Dr-dre67 غير متواجد حالياً

  9. #9
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2002
    المشاركات
    2,289


    AmeerN.Net

    تغيير اسم الملفات والمتغيرات ليست طريقه عملية 100% نحتاج الى مستوى آمان عالي للبرمجيات والبرامج المستخدمة


    hossam alabdeh

    شكرا لك اولا على هذا الموقع واتمنى ان تزودني ايضا ببعض المواقع الموثوقة في محتوياتها ..

    لا ادري اين يمكن ان اتحصل على شهادة آمان ؟


    Dr-dre67

    نتحدث عن مستوى الحماية في البرنامج المستخدم (السكربتات)

    وانتظر عودتك





    المهمة9 غير متواجد حالياً

  10. #10
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2002
    المشاركات
    2,289


    الحقيقه في الأيام الماضيه التى توقف في سوالف سوفت عن العمل اصررت على أكمال الطريق ومتابعة مساءلة الامان

    هل يجب ان اكون مخترقا ؟ لكي اقوم بالحماية .

    وقد قرأت احد الكتب لاخوان مسلمين فيه من الخير الكثير وما زلت في الاجزاء الاولى لا يعلمك الأختراق بقدر ما يعلمك كيف تتحايل على البرامج او السيرفرات





    المهمة9 غير متواجد حالياً

  11. #11
    عضو نشيط
    تاريخ التسجيل
    Nov 2003
    المشاركات
    84


    موضوع اتمنى ان تنحى جميع المواضيع منحاها من حيث المستوى ..

    اتمنى ان يشمل النقاش ASP و PERL و JSP ولكن ان يوجه بشكل خاص للــ PHP لإنها لغة مفتوحة المصدر وشعبيتها كبيرة ولا تدعمها مؤسسة رسمية

    كما يجب التطرق لأساليب البرمجة الخاطئة والتركيز على إتباع الخطوط الأساسية للبرمجة ، اتمنى ان اكون مساهم لكن خبرتي قليلة في برمجة الويب فأنا مبرمج جافا.





    __________________
    إستخدم ملفك الخاص لكتابة توقيعك
    aloyon غير متواجد حالياً

  12. #12
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2002
    المشاركات
    2,289


    aloyon

    اخي الكريم النقاش مفتوح لكل لغات البرمجة ولكل الأخوان اعتقد اننا هنا نحاول ان نؤسس القاعدة ان لم نكن متأخرين في هذا الأمر كثيرا

    قاعدة للتعامل مع الثغرات في البرامج والبرمجيات كلن على حسب تخصصه .





    المهمة9 غير متواجد حالياً

  13. #13
    عضو جديد
    تاريخ التسجيل
    Jul 2002
    المشاركات
    18


    نقاش جميل وموضوع مهم اعمل على ايجاد نتائج له منذ مده.
    وسأقوم بإضافة المزيد قريباً...





    __________________
    :::::: http://www.FastHelp.AnyTime :::::
    DesiGner غير متواجد حالياً

  14. #14
    عضو فعال جدا
    تاريخ التسجيل
    May 2004
    المشاركات
    4,088


    يوجد العديد من الشهادات سواء لحماية الشبكات أو السيرفرات أو حتى لل php و يوجد أيضا كتب مهمة بهالمجال على سبيل المثال شهادة security + مفيدة جدا و أنا أجد الجزء الأهم من الحماية هو على المستضيف و طبعا بفضل الاستعمال المتكرر للسكريبتات المسروقة و عدم شراء ترخيصها من شركتها يضل أغلب المستخدمين على جهلهم للسكريبت برأيي و نصيحة كل من يعجبه سكريبت يشتريه عن نفسي لا و لن أستعمل أي سكريبت مسروق نعم انا اراه و أجربه و لو عجبني أشتريه لأنه سيكون لي دعم و التحديثات أما السكريبتات غير هيكك حرام استعمالها الأمر الأخر لنفرض ال php البرمجة الخاصة هي أفضل حل و طبعا الموضوع طويل جدا و المعرفة الجيدة بلغات البرمجة تفيدجدا ...
    تحياتي





    __________________
    لاَ اِلَهَ اِلاَّ اَنْتَ سُبْحَانَكَ اِنِّي كُنْتُ مِنَ الظَّالِمِينَ
    Hossam AL-Abdeh غير متواجد حالياً

  15. #15
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2003
    المشاركات
    2,047


    السلام عليكم
    عدنا

    حماية سكربتاتنا :


    البيئة البرمجية

    لحماية سكربتاتنا يجب ان نوفر بيئة خاصة و محمية , الأغلبية هنا يستعملون الPHP كمجرد module في الApache و كما تعلمون الApache عادة ما يكون في Group او مجموعة خاصة و يكون اسمها في الغالب" nobody "

    و اذا اردنا مثلا عمل سكربت يستعلم بيانات من قاعدة بيانات اذن يجب ان نجعل قاعدة البيانات متاحة للمستخدم " nobody" لكي يستطيع القيام بعملية الإستعلام + حماية القاعدة من خلال تحديد صلاحيات الApache او تخصيص الإتصال بقاعدة البيانات و حمايتها يا إما بعمل حماية للملفات التي تتصل بالقاعدة (قاعدة البيانات طبعا ) و ذلك يكون بhtaccess , LDAP , ...

    وهذا طبعا لا يكفي و لا يجعل حماية المجلدات الأخرى و قواعد البيانات مضمونة فإن بستعمال الPHP بإمكانك تغير مجلدك بإستعمال الchroot function
    و غيرها من الfunctions مثل : exec , system ....
    و لكن مثل هذه الأشياء بإمكانك الوقاية منها و منع حدوثها بإستعمال open_basedir

    و أيضا الSAFE MODE و الDisabled_functions يجب تعديلهامن php.ini

    حماية كلمات و المرور و التثبت في البيانات التي يتم ادخالها لقواعد البيانات
    في هذا المثال سنأخذ الpostreSQL
    كود PHP:
    <?

    $query  
    sprintf("INSERT INTO users(name,pwd) VALUES('%s','%s');",addslashes($username), md5($password));
    $result pg_exec($conn$query);

    $query sprintf("SELECT 1 FROM users WHERE name='%s' AND pwd='%s';",addslashes($username), md5($password));
    $result pg_exec($conn$query);
    if (
    pg_numrows($result) > 0) {    
    echo 
    "Welcome, $username!";
    }
    else {    
    echo 
    "Mr $username Happy new DAY :p";
    }

    ?>
    في هذا المثال يتم تشفير كملة المرور md5 ثم في محاولة تسجيل الدخول نقوم بالتثبت في كلمة المرور المخزنة و طبعا نلاحظ بعض الإجراءات الأمنية مثل استعمال addslashes

    بإمكان استعمال عدة دوال اخرى لتنقية و التثبت من المعلومات المدخلة الى قاعدة البيانات : htmlspecialchars , trim ...

    مثال لهجوم : مثل لو اراد شخص ما ادخال username الخاص به و كتب مثلا <h1>you site is defaced by me</h1> و ثم اردت عرض الأعضاء الذين اشتركو ستجد ان العضو هذا اسمه بالحجم الكبير و بذلك يجب استعمال htmlspecialchars في عرض قائمة الأعضاء ...


    و في ايضا الSQL injection سأشرحها في المرة القادمة لو اردتم طبعا
    و ان شاء الله يكون ردي نفعكم بشي






    __________________
    -{Only God Can Judge Me}-
    القانون فوق الجميع و الجميع يموت بالجوع
    Dr-dre67 غير متواجد حالياً





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض