فكرة خفيفة لحماية بعض المواقع من الإختراق
السلام عليكم جميعا ...
احمل اليوم فكرة لحماية موقعك ... أنا مقتنع أن الفكرة ليست عملية بشكل كبير لكنها قد تغطي الى حد كبير ثغرة مهمة في أغلب المواقع وخصوصا تلك الإنشائية أو الإخبارية ...
كما أود أن أوضح أن فكرتي هذه ليست مجدية بشكل كبير مع المواقع التفاعلية مثل المنتديات لكن يمكن تطويع المبدأ بطريقة جيدة لمستخدمي المنتديات ...
فكرتي هذه نعرفها جميعا لكن يبدو أننا نتغافل عنها ... الفكرة لحماية قواعد البيانات ...
لا يخفى عليكم جميعا أن بعض المواقع يتم تحديثها بشكل دوري ..كل يوم .. كل يومين ... كل أسبوع .. وهذه هي المواقع التي نتكلم عنها وهي التي يفيدها هذا الموضوع ...
نبدا######
أدخل لوحة تحكم موقعك ثم ادخل الى PhpMyAdmin بالطبع توجد عدة قواعد بيانات ... نحن نريد حماية احداها ولنضرب مثلا قاعدة بيانات النيوك (لكثرة اختراقها )
الآن يوجد مستخدم تحت قاعدة بيانات النيوك .. ملاحظتي هي على الصلاحيات Privileges المعطاه لهذا المستخدم ... غالبا ماتكون كالتالي
(Privileges: SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, REFERENCES, INDEX, ALTER)
وهذا خطأ فادح في حالة كان المحدث الوحيد للموقع صاحب الموقع ...في هذه الحالة أوصي بوجود مستخدمين اثنين على قاعدة البيانات هذه ... المستخدم الأول هذا اتركه موجودا لاستخدامك الشخصي ..
وقم بإنشاء مستخدم جديد ولا تعطيه من الصلاحيات الا SELECT وهذا لاستخدام زوار الموقع
الآن يجب ان يكون هناك ملفين config ويمكنك تسميتهما كالتالي
config فيه بيانات المستخدم الذي ليس له من الصلاحيات الا SELECT
config1 فيه بيانات المستخدم الذي لديه صلاحية ALL
عندما تريد تحديث أو اضافة مواضيع ومحتويات للموقع قم بتغيير أسماء الملفات واجعل config هو الذي يحتوي المستخدم ALL ثم بعد أن تنتهي من تحديثك أعد أسماء الملفات كما كانت ..
...وبهذا مهما حاول المخترق اختراق قواعد البيانات من خلال ثغرات في الموقع فإن اسم المستخدم الذي يستطيع الوصول اليه ليس له أصلا صلاحية التعديل في قواعد البيانات ... ليس له الا صلاحية القراءة ...
ببساطة هذه هي الفكرة ... أعلم ان البعض لاتناسبهم لكن لمن لايستطيعون سد الثغرات ومواقعهم مهددة هذه الوسيلة ناجعة بإذن الله .
وختاما .. للاخوان الذين يحتاجون أن يستخدمو خاصية الإضافة لهذا المستخدم فإنه بامكانهم اعطاء المستخدم بعض الصلاحيات وليس كلها حيث أن الصلاحيات DELETE, CREATE, DROP, REFERENCES, INDEX, ALTER غير ضرورية للمستخدم العادي وقد تكون ضارة ..
أتمنى أن تكون الفكرة واضحة ...
وتقبلوا تحياتي
__________________
موقع رسائل الجوال الوحيد المرخص من هيئة الإتصالات وتقنية المعلومات والحاصل على عقد إعادة بيع مباشر مع الاتصالات السعودية
www.mobily.ws
تقضي المروءة أن نمد جسومنا
جسراً ...فقل لرفاقنا فليعبروا