سنقسم الحوار حول الثغرات إلى قسمين :
1- بيئة العمل من PHP,Apache,MySql,OS.
2- ثغرات بالسكريبت.
ثغرات بيئة العمل عديدة و كثيرة و متشعبة بالتعقيد لكن لدي نصائح سريعة لأصحاب المواقع:
أ- تحديث بريمجات السيرفر إلى النسخ المعروفة بثباتها (لا أعني النسخ الأخيرة لأنها قد تحوي ثغرات فيصبح سيرفرك فأر تجارب).
ب- دائماً يجب الحذر من الأعدادات الافتراضية بالأضافة إلى كلمات السر الافتراضية للنظام و قواعد البيانات أو أي بريمج آخر.
جـ- متابعة آخر مستجدات الثغرات و كيفية التخلص منها.
د- إعطاء الصلاحيات المناسبة لكل مجلد .
و الحديث يطول حول حماية السيرفر لكنه ليس حديثنا...
لأننا في هذا الموضوع سنناقش الثغرات التي من الممكن حصولها في السكريبتات و كيفية تلافي وقوع ذلك.
أكيد بأننا سنتكلم عن الـ PHP حصراً .
1- مدى خطورة استخدام الـ Sessions و كيفية حمايتها.
2- Magic_qoutes و الاستثمار الشهير لاستعلامات الـ SQL .
3- الـ FileUpload كيفية التعامل الصحيح معه لتجنب وقوع بأخطاء شهيرة و لكن قاتلة.
4- حول البيانات التي يرسلها المستخدم و توقع وجود كود HTML .
5- خطر السكريبتات الجاهزة الغير موثوقة المصدر (أو السكريبتات المعربة!).
6- إعدادات عامة بالـ PHP ...
7- تعليمات عامة و أخطاء عامة عن طريقة كتابة الكود.
هذا ما في ذهني حتى هذه اللحظة !.
اختارو أحد المواضيع و دعونا نناقشه ليكون حوار تفاعلي -علمي- بناء .
لكني أخشى من أن يتم استخدام هذا النقاش من قبل البعض لأعمال الهاكر، عندها إذا ساهمنا بمساعدة 10 أسخاص على حماية سكريبتاتهم سنزيد بنفس الوقت عدد المواقع التي سيتم اختراقها.
لأننا إن لم نشرح استثمار الثغرة من قبل الهاكر فلن تقتنع بوجود الثغرة من أصله.