بسم الله الرحمن الرحيم
ونصلي على الهادي محمد عليه افضل الصلاة واتم التسليم اما بعد:
ما يحزنني حقيقة رؤية أحد أصحاب المواقع متضررا لاجئا الي يقول فلان اختر الموقع وفلان سحب الدومين حقي وفلان اخترق سيرفري ابغى اخذ حقي وووووو.........الخ
المهم تجد موقعه مليان بالثغرات اذا كنت تريد فتح موقع فاعلم انك يجب ان تكون قد المسؤولية كفوا لها
نصائح لاصحاب المواقع:
1-لكل سكربت قمت بتركيبه اذا كنت خبيرا في لغة php و html او مهما كانت asp او aspx او cgi فكلها مليئة بالثغرات ولكي تحمي نفسك يجب ان تتعلم كيف يفكر الهكر لكي تقوم بمعنه وسد كل طرقه المهم المنتشر حاليا هي لغة php الكل يعلم ما هي هذي اللغة هي لغة بسيطة جدا لمن فهمها لنبحر معا في عالم الثغرات في سكربتات php ولعل لنا حديثا فيما بعد عن السكربتات الاخرى
لن ندخل في تفاصيل لغتها لكن سوف اريك كيف تحمي نفسك ايها الادمن من ذئاب النت
هناك دوال كثيرة في لغة php ولكل منها وظائف ولن نتطرق لها ايضا
include
include_once
open
fopen
require
require_once
هذه الدوال مهمة وخطرة في نفس الوقت في كيفية كتابتها ومن كثر المبرمجين الدلوخ نجد انه ياتي ليكتب الدالة ويضع بعدها المتغير لتكون دالة مفتوحة لا مغلقة ناخذ سطر برمجي خاطئ كمثال
في منتديات phpBB هناك خطأ في ملف function.php الا وهو هذا الخطأ
include($php_root_path
ما نرى لم يقم باغلاق الدالة وهذي الثغرة تسمى بالفايل انكلود (remote file inclusion) ولمزيد من التفاصيل في كيفية اكتشافها في سكربتات php فقد قمت بشرحها مسبقا لمراجعة الرابط
http://www.zshare.net/download/14535259e5792a/
ولمراجعة اخر الثغرات ادخل هنا
http://www.milw0rm.com/webapps.php
نأتي الان الى ثغرات sql injection الممتعة وهي سحب جداول sql ومعلومات الادمن من قاعدة بيانات سكربت وفي بعض الاحيان من السيرفر الي هو باسورد الرووت مشفر بتشفير mysql المهم هذي تكون بتطبيق واوامر اهمها union select null/*
ولكي تعرف انه هناك خطأ برمجي sql يمكن استغلاله لنفترض ان الرابط هكذا
http://www.site.com/index.php?id=1
نقوم بادخال قيمة غريبة في مكان 1 ولنجعلها بالسالب هكذا
http://www.site.com/index.php?id=-1
وهكذا يكون اكتشفنا خطأ برمجي
http://www.erec.co.ir/gallery/proper...20from%20users
ماذا ترون؟؟؟؟
باسورد الادمن مشفر بتشفير md5 مع اسم اليوزر ولهذا هي خطرة
كما الحال هنا في اكتشاف ثغرات في سكربتات php
http://www.milw0rm.com/webapps.php
هذي هي اهم الثغرات الي يستخدمها اغلب الهكر
وسوف نشرحها بالتفصيل بالفيديو في الايام القادمة
يجب تشغيل السيف مود في سيرفرك واغلاق جميع الدوال الخطرة وترقيع sql ووضع ملف .htaccess وسوف نتطرق لكل هذا لاحقا
يجب عليك متابعة اخر الثغرات اول باول واحذر من سكربت قمت بتركيبه ولم تفحصه بعناية كما هو الحال في السكربتات العربية مثل مكتبة الجوال وغيرها من الثغرات
وسوف نتطرق بالتفصيل وخطوة خطوة لكل هذا
تنويه وملاحظة:
تذكر ان السيرفر هو جهاز واحد يستضيف جميع المواقع التي موجودة على السيرفر وان لم اجد ثغرة في موقعك أستطيع البحث في نفس السيرفر واذا قمت بايجاد ثغرة استطيع القيام بالوصول الى موقعك تذكر هذا دائما
نستقبل استفسارتكم واقتراحاتكم هنا
ويا ليت الموضوع يتثبت لكي يشرفونا اصحاب الادمن والمواقع هنا ونرى حالهم؟؟
RxH
Regarded
Bookmarks