السلام عليكم ورحمة الله

زرت موقع الشيخ العمري

http://www.alomarey.net/omari/default.aspx

وتفاجأت باختراق لقواعد بينات الموقع حيث عدل المخترق أشياء كثيره في الموقع

وألغى كثير من المواضيع





والمخترق حذف كل شئ و استبدل كل المواضيع وكل الروابط بــgranted to AL-Abbasi


طبعا أنا أريد أن أعرف كيف أُخترق هذا الموقع....وأين المشكلة بالظبط

من السيرفر أم من البرنامج نفسه

يعني نريد نقاش هادف بعيدا عن الإساءة والكلام الزائد

محبكم

يمكن ان يكون من البرنامج او من السيرفر لان مفيش برنامج ملوش ثغرة بس انت المفروض تدور انت مشغل ايه وتتابع مع مواقع السكيورتى

__________________
الوكيل الرسمى لرابدشير فى مصر
http://www.rsarabia.com
rsarabia.com@hotmail.com

السلام عليكم اخي

اخوي بشكل عام مافي لغة امنه 100% كل اللغات قابله للاختراق لكن تقدر تقول ان ال asp.net بشكل عام اكثر امانا من اي لغة ثانيه

ومع هذا لو برمج شخص هاوي برنامج على ال asp.net
وبرمج شخص محترف برنامج على ال php

اكيد احتمال اختراق برنامج ال asp.net ممكن يكون اعلى لان هذا امر يرجع للمبرمج

لكن في المعايير القياسيه فان ال asp.net اقوى وامنه اكثر من ال php واللغات الثانيه



ملاحظة ::::

واضح جدا ان المخترق قام بعمل Update تحديث لقاعدة البيانات
لانه استبدل كل المواضيع بموضوع واحد وليس كل المواضيع بل جزء منها

يعني قدر في مكان ما في الموقع انه ينفذ جملة Update او تحديث والجملة ماشتغلت على كل المواضع لكن اشتغلت على جزء منهم واضح جدا ان في شرط ماتحقق في المواضيع الي ماتغيرت

اما المكان الي قام بتنفيذ الجملة على قاعدة البيانات منه فهو مكان يسمح للزوار او الاعضاء ان يكتب فيه ويتصل مع قاعدة البيانات اما البحث او سجل الزوار او اي مكان اخر بالموقع

في احدهم يوجد ثغره وربما الثعره تكون في جملة ال SQL المستخدمه انها قابلة لاستيعاب جملة اخرى وتنفيذها

في امان الله

__________________
احنا بكل فخر واخلاص باغة باروده ورصاص
وصقور تحب المقناص بجو الأردن عاليه
وفوق الأردن عاليه ........

اضافة على الرد السابق


لاحظ ان كل المواضيع تغيرت الا المواضيع الموجوده في ركن (مستشارك) او (الاستشارات)

مدير الموقع رح يقدر يعرف الثغره من هنا

لان هذا الركن في شيء فيه بختلف عن باقي الاركان في الموقع وبما انه فيه ادخال من قبل الزوار وما تم اختراقه اذا غالبا جملة ال SQL ماقدر المخترق ينفذها هناك او اي ثغره ثانيه ماهو شرط تكون ثغرة جملة ال SQL

على كل الاحوال هذا بمثابة طوق النجاة لمدير الموقع يعني توفر عليه وقت كثير في البحث عن الثغره ومعرفتها

__________________
احنا بكل فخر واخلاص باغة باروده ورصاص
وصقور تحب المقناص بجو الأردن عاليه
وفوق الأردن عاليه ........

السلام عليكم ورحمة الله وبركاته...

طبعاً كل لغة ممكن تكون آمنة وممكن تكون غير آمنة

وكله على حسب امكانيات المبرمج نفسه.. واذا في اي نقاط ضعف في اللغة يمكنه التغلب عليها بمهارته

__________________
mahmoud009 سابقاً
منتدى بي اتش بي
فِكرة لتقنية المعلومات

أخي nothing4u

ماقصرت على افادتك الجميلة

وفعلا نفس الي في خاطري بخصوص الإستشارات


وأشكر جميع من شارك في الموضوع والحمد لله الموقع تصلح لكن أتوقع أنه سيعود المخترق مره أخرى طالما أن الثغره موجودة