الى خبراء لغة html (مهم جدا) !! فقط للخبراء لا غير


أنا عامل سماح لملفات من نوع html أن يتم رفعها بمركز التحميل ومانع ملفات الـ php

هل تشكل ملفات html خطرا على مركز التحميل في اختراق موقعي ؟؟؟

ويا ريت يكتب لي مثال على ذلك بكود خطير يسمح بالاختراق اذا كان يتسبب بذلك وشكرا . :)

:) ممكن تسبب ثغرة

اذا كان الاباتشي يترجم ال html على اساس انة php

يمكن كلامي مو واضح لاكن اهي متعلقة بال Mime

بحيث يتم ترجمة ال اتش تي ام ال على اساس انة ملف بي اتش بي او ممكن يسوي انكلود :)

او يقدر يسوي مليون فكرة و فكرة اقل ما فيها صفحات html ملغمة بالفايروس

كلام abdullah صحيح فلو تم المنع فقط عن طريق MIME سيسبب خطر كبير جدا

يمكن أعادة برمجة و تعديل ملف شل مبرمج بال بى اتش بى مثلا
و رفعة على الامتداد html
و يتم تنفيذ أوامر الشل التى هى فى الأصل php

لا مفيش منها اي خطر... و بالنسبة لتشغيلها كphp فدا صعب يحصل مادام انت معملتهوش
هوا Default بيكون شغال عادي : text/html

اكسترا الحين داخل ملف html استطيع عمل الاتي

?>
php code
<?

يبقى الامتداد هتمل ولكن كود ال php يتنفذ

هذا مايشكل خطر ؟

اخواني الأعزاء بالنسبة لحركة استخدامه كشل أنا جربتها وما نفعت لأنه ما يقراها

ولكن أنا أقصد انه يكون html ولادخل للغة php أبدا

مو لازم يكون شل

داله وحده بامكانها تعدم السيرفر :d

الا اذا كنت مسوي هت اكسز ومعطل قراءه php php3 pl cgi ... الخ

مادم يمكن لملف html عمل و تنفيذ دالة لى php أذن يمكنة تنفيذ أوامر الشل لكن الموضوع ليس بسيط اى لا ينفع أن تقوم بتغير ملف مثلا c99.php الى c99.html لانه لن يعمل بالشكل السيليم لكن بعد تعديل سطور ملف الشل او البى اتش بى يمكنة يعمل و بسهولة
و قد لا تعمل أوامر الشل أو أوامر php المختصة بالسيرفر
و هذا يعتمد على حماية السيرفر و التصاريح

أخواني الأعزاء أنا عامل ملف hetacses.

ومعطل قراءه php php3 pl cgi

سؤالي هل يمكن استغلال الـ html مع اني معطل الأشياء هذي

يعني في كود خاص بلغة html

أخوي العبقري .:

الأن مثلا سويت صفحة اختراق ,,
وحفظ بأسم [ index.gif ] راح يرفعها ويدخل عالرابط من المتصفح
راح يطلع له صفحة اختراقه الكود Html ولكن الصيغه صورة Gif
فـ فيه سكريبت مركز تحميل الصور محمي بنسبه 90 % تقريباً >>>
مثال.: بترفع صورة بأسم ss وبأمتداد jpg يوم ترفعه وتضغط رفع بالسكريبت
بيعطيك النتيجه [ xxx.com/s3424343.jpg ]
زيــ مراكز لمواقع المعروفه ولكن لوا يضيفون صيد كود php , html بتكون الحماية 100000000%100

أما

ويا ريت يكتب لي مثال على ذلك بكود خطير يسمح بالاختراق اذا كان يتسبب بذالك

اظن كان معي هذه الكود الخطر الي ترفع شل بأمتداد صورة ويتنفذ كـ PHP ولكن بتعدل عالسكريبت الي تبي ترفعه Shells
ومصـاب بهذه الكود الي اقول عنه المنتدى العربي برمجة الماستر سابقاً وتم التبيلغ والترقيع

Byee

قم بتحويل لملف html اللى ملف php عن طريق برنامج ما ازكر اسمه حتى يتم قبول ملفات php ... وملفات اخرى

حتى الطرق اللي انتوا بتقولوها ممكن تتعدى :D
Xtra-Hosting.com Global Upload Extension Transveral Security
كمثال على سيرفر لطريقة حماية الأبلودرات كلها او في اي مكان في السيرفر..

http://www.xtra-hosting.com/1.php.rar
http://www.xtra-hosting.com/1.jpg.php
http://www.xtra-hosting.com/1.php.xtra
http://www.xtra-hosting.com/1.xtra.php
.......................................
وكمان في المسارات اللي صلاحياتها 777 للرفع :)
http://w0rm.securitygurus.net/SG/1.php

لكن بالنسبة لل HTML جربها و هتلاقي ان الكود هيطلع TEXT !!!
لكن تفرق اذا كان اليوزر ليه Local Access ممكن يخلي الامتداد html يشغل php

قم بتحويل لملف html اللى ملف php عن طريق برنامج ما ازكر اسمه حتى يتم قبول ملفات php ... وملفات اخرى
دبر لنا وصلة هل برنامج او اسمه عل اقل Plz ;)

حتى الطرق اللي انتوا بتقولوها ممكن تتعدى
Xtra-Hosting.com Global Upload Extension Transveral Security
كمثال على سيرفر لطريقة حماية الأبلودرات كلها او في اي مكان في السيرفر..

http://www.xtra-hosting.com/1.php.rar
http://www.xtra-hosting.com/1.jpg.php
http://www.xtra-hosting.com/1.php.xtra
http://www.xtra-hosting.com/1.xtra.php
.......................................
وكمان في المسارات اللي صلاحياتها 777 للرفع
http://w0rm.securitygurus.net/SG/1.php

لكن بالنسبة لل HTML جربها و هتلاقي ان الكود هيطلع TEXT !!!
لكن تفرق اذا كان اليوزر ليه Local Access ممكن يخلي الامتداد html يشغل php

تمام ياباشا ,,:)