الحل الصحيح للمجلدات المصرحه بـ 777

العندليب · 22-11-2005, 04:16 PM

السلام عليكم ورحمة الله وبركاته

أخواني الأعضاء في سوالف سوفت
لاحظت أن الأغلبيه يستخدم سكربتات لرفع الملفات في موقعه وهذه السكربتات كثيره منها ماهو أمن ومنها ماهو غير أمن ، وهذه السكربتات تشترط منك ياصاحب الموقع أن تقوم بعمل تصريح 777 او تصريح 707 لمجلد معين وهذه التصاريح تسمح لزوار موقعك بالكتابه في المجلد الذي قمت أنت بتصريحه.
الخطوره هنا من ملفات الـ php لأنها تحتوي على تعليمات برمجيه يتم تنفيذها داخل خادم الموقع .
فلو قام أحد الأطفال المخترقين من رفع ملف php إلى الخادم بأي ثغرة كانت فسوف يبحث عن المجلدات ذات تصريح 777 أو 707 لأن صلاحياته صلاحيات زائر وحين يجد هذه المجلدات فسوف يستخدمها كمعسكر لملفاته وسكربتاته مثل : PHPShell ، MySQLInterface ............. الخ بعدها سيصل إلى ملفات موقعك وبعدها أنت تعلم ماذا سيفعل

إذن ما الحل الصحيح لهذه المجلدات !؟!؟

الحل طبعاً بتعطيل تنفيذ الـ php داخل هذه المجلدات عن طريق تعليمه تضيفها في ملف الـ .htaccess وهي :

كود PHP:

  php_flag engine off

بعدها تقوم برفع ملف الـ .htaccess الى كل المجلدات ذات تصريح 777 .

وللتجربه قم برفع اي سكربت php للمجلدات ذات التصاريح 777 والتي تحتوي على الـ htaccess وقم بالدخول على هذا السكربت وشاهد النتيجه .
سوف تجد أن السكربت لم يقم الخادم بتنفيذه

ملف .htaccess مرفق

pop4wali · 22-11-2005, 04:33 PM

جارى التجربه وباذن الله تكون النتيجه فعاله
شكرا لك يا عندليب على عطائك المستمر

محمود المسعودي · 22-11-2005, 04:57 PM

جزاك الله كل خير يالعندليب .. تم إرسال نسخة الى قسم تطوير المواقع لاهمية الموضوع و لانه يهم اصحاب المواقع ايضاً ...

الغريم دوت كوم · 22-11-2005, 05:04 PM

تسلم اخوي عندليب فكرتك رائعة
ولكن هناك ملفات شيل تعمل تحت CGI مب php فكيف نحلها

الرجل الخارق · 22-11-2005, 05:11 PM

وعليكم السلام ورحمة الله وبركاته

شكرا لك أخي العندليب على هذه الطريقة

محمد الهاجري · 22-11-2005, 05:12 PM

العندليب جزاك الله

ما نضيف كذلك التالي لزيادة الامان ام ان الكود اللي وضعته يكفي؟

RemoveType .php .php3 .phtml .pl .cgi.html.htm.asp.aspx

شكرا لك

الرومانتك · 22-11-2005, 05:19 PM

موضوع فعلا يفيد الجميع

يعطيك العافيه يالغلا

alsahernet · 22-11-2005, 05:49 PM

جزاك الله خير

العندليب · 22-11-2005, 05:54 PM

العفو يا أخواني وان شاء الله فيه الفايده

الأخ الغريم دوت كوم
الـ cgi يعمل فقط في مجلد cgi-bin فقط إلا إذا كان المستضيف قام بوضع إعدادات الـ cgi بشكل اخر فهذا كلام ثاني

الأخ RED_LINE
كل الطرق تؤدي الى روما

زاهي الشوق · 22-11-2005, 06:32 PM

شكرا لك

وفقك الله

مُجَاهِد · 22-11-2005, 10:49 PM

جزاك الله خير أخي الكريم "العندليب" ..
والف الف شكر لك ..

وخالص المودة

،،

متابع · 22-11-2005, 11:55 PM

تسلم والله يالعنديلب والله أنك ما تقصر

تحياتي ..

صقور العز · 23-11-2005, 12:20 AM

سملت يا الذيب

طير شلوى · 23-11-2005, 02:48 AM

شكرا لك اخي العندليب

ولكن اظن انه يوجد فرق بين الدالة التي وضعتها
وبين هذه
RemoveType .php .php3 .phtml .pl .cgi.html.htm.asp.aspx

لأن الثانيه تقوم بتعطيل ملفات البيرل والسي جي اي وغيرها
والتي ذكرتها اعتقد انها خاصه بتعطيل ال php فقط

وجهة نظر فقط ،،،
وقد اكون مخطي

بإنتظارك يابطل

فهد 2000 · 23-11-2005, 04:52 AM

الله ينصرك على من يعاديك
وجزاك الله خير وبارك الله في اهلك ومالك وذريتك

فهد 2000 · 28-11-2005, 02:21 PM

ينفع كذا
RemoveType .php .php3 .phtml .exe .rar .zip .pl .cgi.html.htm.asp.aspx

jadweb.com · 04-12-2005, 12:37 AM

مشكور اخوي موضوع هادف جدا جزاك الله خير .

(محمد) · 03-02-2006, 03:11 AM

مشكور اخوي

لمعلوماتك المفيدة

ahdaf.net · 30-03-2006, 08:37 PM

وهل اضافة هذا الملف بهذا الامر ممكن يؤثر على عمل الملفات الموجودة داخل السكريبت ؟؟
واذا كان ملف وليس مجلد يحمل تصريح ال 777 فهل هناك خطورة منه او طريقة لحمايته

LoVe KiNg · 31-03-2006, 02:23 AM

بجد موضع مفيد

hagryyy · 31-05-2006, 02:30 AM

كود PHP:

  RemoveType .php .php3 .phtml .exe .rar .zip .pl .cgi.html.htm.asp.aspx

php_flag engine off

لو.اسوي.الملف.كذا.صحيح؟؟

ismailkriam · 31-05-2006, 03:06 PM

بارك الله فيكم يا اخواني
موضوع مهم جدا
والى الامام
واعتقد انه هذا الكود
RemoveType .php .php3 .phtml .exe .rar .zip .pl .cgi.html.htm.asp.aspx
يكفي للغرض

al-marwa · 31-05-2006, 04:15 PM

جزاك الله خير استفدت من الموضوع

الإمبراطور وحيد · 31-05-2006, 04:34 PM

الف شكر العندليب

يعطيك ربي العافية

وهالطريقة انا مستخدمها وبالفعل تؤدي الغرض

RemoveType .php .php3 .phtml .exe .rar .zip .pl .cgi.html.htm.asp.aspx
php_flag engine off

دمت بخير

العندليب · 31-05-2006, 05:02 PM

العفو يا أخواني
وبالنسبه للي يستخدم هذا السطر فقط

كود HTML:

RemoveType .php .php3 .phtml .exe .rar .zip .pl .cgi.html.htm.asp.aspx

فسوف يلغي عرض الملفات ذات الامتدادات الموضوعه في مجلد مفتوح ولكن لن تتعطل الـ php الا اذا كتبت

كود HTML:

php_flag engine off

يعني لو ما كتبت السطر الأخير من الممكن رفع شل في هذا المجلد وتنفيذه.