صفحة 1 من 4 1234 الأخيرةالأخيرة
النتائج 1 إلى 15 من 53

الموضوع: السبب الأول لاختراق موقعك هو السماح برفع الملفات

  1. #1

    تاريخ التسجيل
    Apr 2001
    المشاركات
    1,897

    السبب الأول لاختراق موقعك هو السماح برفع الملفات



    السلام عليكم و رحمة الله و بركاته

    في الآونة الأخيرة ظهرت مشاكل كثيرة لدى البعض من اختراق مواقعهم و يذهب بكل منهم الظن بأن الخلل في المنتدى مثلاً أو سكريبت الأخبار أو غيرها من السكريبتات الرئيسية في مواقعهم ..
    فيما السبب الرئيس يكمن في سكريبتات بسيطة قد لايخظر ببالك أنها السبب لما يحصل ..

    و أذكر منها مثالين اثنين :
    1 - مركز تحميل الملفات .
    2 - ألبوم الصور .

    التفصيل :
    1 - مركز تحميل الملفات : أغلب هذه السكريبتات المتوفرة لرفع الملفات ضرورية لأغلب أصحاب المواقع نظراً لرغبتهم في توفير هذه الخدمة الضرورية لأغلب الأعضاء و المشاركين ...
    و طبعاً فإن أغلب السكريبتات المتوفرة من هذا النوع مجانية لذلك كل صاحب موقع يبث عن سكريبت و يقوم بتركيبه و يعتقد أنه انتهى من مشكلة رفع الملفات لدى أعضائه في حين أن الذي حصل هو العكس ..
    فهو بهذا السكريبت يكون قد فتح ثغرة ( أو بالأصح بوابة كبيرة ) لاختراق موقعه دون أن يشعر .
    فأي سكريبت من هذا النوع يطلب منك تكوين مجلد يتم حفظ الملفات فيه ثم إعطاء هذا المجلد تصريح 777 .
    و بذلك يستطيع أي هاوي أعمال هاكار من اختراق موقعك بملف يقوم بتحميله ... ثم يسيطر على كل شيء و يخرب لك الدنيا ، و يصبح موقعك واجهة إعلانية له يعرض فيها عضلاته أنه قام باختراق الموقع .

    2 - ألبوم الصور :
    نفس الشيء الذي رأيناه في مركز تحميل الملفات ينسحب على ألبوم الصور حيث تضطر إلى إعطاء تصريح 777 لبعض مجلدات السكريبت و بذلك تكون قد فتحت ثغرات كثيرة يمكن الدخول منها .


    وبهذين المثالين أعتقد أنني انتهيت من تلخيص المشكلة .
    ولكن ماهو الحل ؟؟
    هل سيضطر كل صاحب موقع إلى إلغاء خدمة تحميل الملفات في موقعه ؟؟؟
    الجواب : نعم و لا .

    1 - نعم : أي يجب فوراً إيقاف أي سكريبت لتحميل الملفات في موقعك الأساسي مهما كان نوعه .

    2 - لا : أي يمكنك تجاوز هذه المشكلة بطريقة سهلة و هي كما يلي :

    مثلاً : عنوان موقعك www.domain.com فتقوم بحجز دومين آخر بهذا الشكل www.domain.net ثم تستضيف هذا الدومين الثاني في استضافة أخرى على سيرفر ثاني غير موقعك الرئيسي ..
    انتبه لاتستضيف الدومين الثاني www.domain.net على نفس السيرفر و إلا ستقع في نفس المشكلة من جديد .
    بل عليك استضافته في سيرفر آخر و استضافة أخرى ، ثم تقوم بتركيب مركز تحميل الملفات أو أي سكريبت آخر في المساحة الجديدة الثانية www.domain.net ...
    بحيث يقوم زوار موقعك برفع ملفاتهم للمساحة الثانية www.domain.net ثم يأخذوا روابطها لعرضها في موقعك الأساسي www.domain.com .

    هذا هو الحل المناسب برأيي ، و في حال تم اختراق www.domain.net فالمشكلة سهلة لأن المخترق لن يستطيع تخريب أكثر من بضعة ملفات يمكن استرجاعها بسهولة من خلال نسخة احتياطية يومية و لكنك تضمن أنه لن يستطيع تخريب موقعك الأساسي www.domain.com أو العبث به .

    هذا ... و الله أعلم
    والسلام عليكم
    عماد الدين





    __________________
    الحمد لله على كل حال


  2. #2
    عضو فعال جدا
    تاريخ التسجيل
    Jun 2004
    المشاركات
    2,297


    كلمة شكر وتقدير قليلة على انسان مثلك اخي

    يجزاك الجنه والفردوس الاعلى يا رب





    __________________
    شبكة شباب سوفت للبرامج
    http://www.sh2soft.net

    قال الله تعالى: ( ومن يتق الله يجعل له مخرجاً، ويرزقه من حيث لايحتسب)

  3. #3
    عضو فعال
    تاريخ التسجيل
    Jan 2005
    المشاركات
    1,736


    جزاك الله خير اخي الكهف
    نعم الطرقة الي ذكرتها رائعة بس لايستطيع عملها من هم اصحاب دخل محدود وبسيط او موقع مبتدء

    لذلك رى ان استخدام htaccess ومنع تفعيل بعض اوامر php وخلافها في المجلدات الصور الحل الانسب لحل هذه المشاكل , وهناك موضوع او اكثر من موضوع لهذي الامور في سوالف
    مع التحية لشخصك الكريم





    __________________
    سبحان الله و بحمده سبحان الله العظيم
    لآ إله إلآ إنت سبحانك إني كنت من الظالمين
    سيارات الخليج سيارات الخليج : لعرض وبيع السيارات المستعملة مجانا
    دايموند كار واش

  4. #4
    عضو فعال
    تاريخ التسجيل
    Feb 2004
    المشاركات
    1,318


    جزاك الله خير يا الغالي ..
    كلام اكثر من روعه . :nice:





    __________________
    سبحان الله وبحمده سبحان الله العظيم

    منتديات ترنيمة

  5. #5
    عضو فعال جدا
    تاريخ التسجيل
    Jan 2005
    المشاركات
    3,948


    يعيطك العافية اخوي عماد وفكرتك مجدية ونافعه

    والحمدلله اخونا الكبير العندليب ماقصر واعطانا الحل النهائي للملفات المصرحة بال 777

    والاخوان ايضاً نزلوا موضوع بتعطيل اوامرر php والخ



    ولكن السؤال الحين هل يوم اركب مركز تحميل يشفر اسم الملف الى ارقام هل هو ايضاً معرض للأختراق ؟





    __________________
    سبحان الله ... اللهم اني استغفرك و اتوب الليك
    Twitter
    سيرفرات موقعي على ليكود ويب

  6. #6
    عضو نشيط
    تاريخ التسجيل
    Sep 2005
    المشاركات
    282


    نعم اخي

    هذا هو افضل حل لذلك ...

    مع اخذ الاحتياطات


    وهناك درس في موقع مربع من ضمن دروس الدعم الفني اعجبني وشرح هذه الخاصية والحماية شرحاً وافياً
    http://www.murabba.com/support/index...ewarticle&id=6






  7. #7
    عضو فعال
    تاريخ التسجيل
    Nov 2003
    المشاركات
    1,002


    عزيزي الكهف أشكر لك حرصك على أصحاب المواقع ,,,,,,,,,,,


    ولكن


    هل من المعقول حتى الان لم يجدوا أي حماية لمثل هذه الأمور التي تعطي تحمل


    أيضا اذا كنت املك سيرفر خاص ( فليش أستضيف على شركة ثانية ) ,,,,


    نقطة مهمة نزلت ملف htaccess وحميت مجلد التحميل ولكن اتفاجئا عندما اسوي سكان على الموقع احصل ملفات شل وفيروسات ,,,,

    ايضا أحب الاصدقاء أخبرني طريقة لرفع الشل ( لا اريد ) أن اذكرها كي لاتستخدم ضد مواقعنا لرفع الشل حتى لو كان محمي الموقع ( لكن ) لا أدري عن جدوى الطريقة لأني لم أجربها

    ايضا الاخ العندليب ذكر حل لمشكلة التصريح 777

    مثلاً لنفرض ان مركز التحميل رابطه
    www.swalif.net/up
    يتم إعطاء المجلد up التصريح 755
    والمجلد اللي فيه الملفات من الضروري إعطائه التصريح 777
    مثلاً : www.swalif.net/up/files
    فمجلد up سوف يلغي تصريح ملف 777 حقيقة هذا اللي فهمته من أحد المواضيع هنا ( ايضا ) لاأدري عن جدوى هذا الموضوع

    فكرة أو سؤال :

    هل لو وضعنا الملفات بهذا الشكل
    مثلاً : www.swalif.net/up/files/id=11323
    مثل مراكز التحميل العالمية ( هل عليه خطورة ايضا أم لا )


    ايضا فكرة أو سؤال آخر :

    هل من طريقة لربط مركز التحميل ببرنامج حماية

    مثلاً قبل ان يقوم بالتحميل يمر على برنامج الحماية يفحصه وإذا أنه نظيف يتم إنزال ,,,,,,,



    لي عوووودة


    أبو فهد ,,,,,,






  8. #8
    عضو نشيط
    تاريخ التسجيل
    May 2006
    المشاركات
    229


    ولله موضوع رائع

    وكمان ممكن يبقى واجهت الرفع على موقعك
    والملفات بتترفع على موقع تانى
    دا غير ان فى طرق تنيا غير اعطاء المجلد المستهدف تصريح 777
    مثل استخدام برتكول الـ ftp لكن اوايضا نقل الملفات عن طريق ال ssl
    بس فين المبرمجين

    الصراحه من احسن الحلول الى انت قلتو






  9. #9

    تاريخ التسجيل
    Apr 2001
    المشاركات
    1,897


    اقتباس المشاركة الأصلية كتبت بواسطة الريس
    أيضا اذا كنت املك سيرفر خاص ( فليش أستضيف على شركة ثانية ) ,,,,
    للأسف ليس عندي طريقة أخرى مضمونة إلا ان تستأجر مساحة لدى استضافة ثانية و يمكنك مثلا حجز مساحة لدى goddady أو غيره ...
    ولا يوجد عندي حل آخر ...
    ولك الحرية طبعا أخي .
    والسلام عليكم
    عماد





    __________________
    الحمد لله على كل حال

  10. #10
    مُجَاهِد سابقاً
    تاريخ التسجيل
    Apr 2004
    المشاركات
    12,000


    جزاك الله خير ..





    __________________
    استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور

  11. #11
    عضو فعال جدا
    تاريخ التسجيل
    Sep 2004
    المشاركات
    2,271


    مرحبا اخوي
    اشكرك على طرح الموضوع لاكن اخالفك في الحلول الي طرحتها
    كثير من اصحاب الموقع سوا مجهود كبير في توفير قيمة مساحة استضافة واحده لذالك
    ليس بوسعة توفير مبالغ اضافية ويظطر يسوي المركز في نفس الموقع لاكن الحلول موجودة
    الحل انك تعطل اي ملف بي هتش بي داخل مجلد مركز التحميل وبمجرد رفع الملف ماراح يشتغل
    لانك سحبت منه اوامر عمل ال بي هتش بي
    العملية مجربة ومضمونه 100%
    ويفضل وضع الملف في مجلدات الصور في الجاليري وفي المنتديات واي مجلد صور موجود في الموقع حتى لا يتمكن اي شخص اخفاء ملفاته بداخلها


    اقتباس المشاركة الأصلية كتبت بواسطة زاهي الشوق
    نعم اخي

    وهناك درس في موقع مربع من ضمن دروس الدعم الفني اعجبني وشرح هذه الخاصية والحماية شرحاً وافياً
    http://www.murabba.com/support/index...ewarticle&id=6






    __________________
    Ding Dong ;)
    ding@0a0.in

  12. #12
    Banned
    تاريخ التسجيل
    Nov 2003
    المشاركات
    1,257


    اقتباس المشاركة الأصلية كتبت بواسطة mad_4u
    مرحبا اخوي
    اشكرك على طرح الموضوع لاكن اخالفك في الحلول الي طرحتها
    كثير من اصحاب الموقع سوا مجهود كبير في توفير قيمة مساحة استضافة واحده لذالك
    ليس بوسعة توفير مبالغ اضافية ويظطر يسوي المركز في نفس الموقع لاكن الحلول موجودة
    الحل انك تعطل اي ملف بي هتش بي داخل مجلد مركز التحميل وبمجرد رفع الملف ماراح يشتغل
    لانك سحبت منه اوامر عمل ال بي هتش بي
    العملية مجربة ومضمونه 100%
    ويفضل وضع الملف في مجلدات الصور في الجاليري وفي المنتديات واي مجلد صور موجود في الموقع حتى لا يتمكن اي شخص اخفاء ملفاته بداخلها

    100%

    اذا منعت تشغيل ملفات php داخل المجلد بوضع ملف الـ htaccess في الأمر التالي
    كود:
    # php_flag engine off
    أو أمر عدم تحميل أي ملف يكون له صيغتين

    و الأفضل جعل تصريح مجلد الملفات 775







  13. #13
    Banned
    تاريخ التسجيل
    Nov 2003
    المشاركات
    1,257




    بالمناسبة هذي الأوامر الي توضع في ملف الـ htaccess

    مأخوذة من الدرس الموجود في مربع الله يعطيهيم العافية على الدرس

    كود:
    RemoveType php
    <IfModule mod_php4.c>
      php_flag engine 0
    php_admin_flag safe_mode On
    </IfModule>
    
    <IfModule mod_php5.c>
      php_flag engine 0
    </IfModule>
    
    # GET requests only
    <LimitExcept GET>
      Order Allow,Deny
    </LimitExcept>







  14. #14

    تاريخ التسجيل
    Apr 2001
    المشاركات
    1,897


    عحيب أمر بعض الأخوة سامحهم الله يفترضون أن أغلب اصحاب المواقع من الفهمانين
    ياجماعة الخير نسبة 80% من أصحاب المواقع لايفهمون ماهو htaccess ، ثم يخرج علينا فلان و فلان ليقول اعملوا كذا و كذا ....
    بصراحة و للجميع أقول :
    صاحب أصغر موقع في أي سيرفر ليس لديه خبرة كافية و يقوم بفتح مركز لتحميل الملفات فإنه يفتح بذلك ثغرة كبيرة قد تؤدي إلى اختراق كافة المواقع على السيرفر حتى ولو كانت 100 موقع حصين و أصحابها خبراء بالـ htaccess ..
    فـ اسمعوا و عوا يارعاكم الله .
    والسلام عليكم
    عماد





    __________________
    الحمد لله على كل حال

  15. #15
    Banned
    تاريخ التسجيل
    Nov 2003
    المشاركات
    1,257


    وش فيك عصبت أخوي عماد
    ترا الشغلة كلها نقاش

    يعني إذا ما كانوا يعرفون شو هي الـ htaccess نشرحها لكم
    و يكون هذا الموضوع مرجع ممتاز لحماية مراكز التحميل ..

    تحياتي لك






صفحة 1 من 4 1234 الأخيرةالأخيرة




ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  
0
موقع مكملات غذائية | نظارات طبية | أضف موقعك هنا