هل يمكن اختراق البرمجة الخاصة؟
السلام عليكم ورحمة الله وبركاته
عندي سؤال للأخوة خاصة في هذا القسم الحين لو عندي انا سكربت برمجة خاصة ما حد يعرف كيف متكون إلا الشركة هل يقدر أحد يخترقة مثلا؟ وكيف ممكن يقدر يستغل وهو ما يعرف كيف متكون ما يعرف امتداد الصفحات والمجلدات لأنها هتكون عشوائية ياريت التوضيح ولكم جزيل الشكر |
السلام عليكم و رحمة الله و بركاته ,
أخي العزيز ملاك الحاسوب كل شيء يمكن إختراقه , و تتفاوت درجة الصعوبة من إختراق لآخر , :) في مثل حالتك هذه أغلب المخترقين يقومون بإختراق السيرفر , و بعدها يحصلون على كل شيء , :) TRD ... |
كل شئ فى النت سهل الاختراق
تحياتى لك هاكرز مصر |
ما أزيد على كلام الإخوان :)
|
الحين الاختراقات صارت مثل ماتفضل الاخ TRD يقومون باختراق السيرفر
لكن عزيزي لو فرضنا ان سيرفرك يتمتع بيميزات قوية ومن داتا سنتر عالميه معروفة بالحماية واستخدمة لغة asp في برمجتك فاتوقع ان حمايتك راح تكون مضمونه اكثر واحتمال الاختراق راح يكون اضعف على عكس استخدام الـ PHP في برمجتك >> تقديري << |
إقتباس:
اخوي php افضل بكثير واقوى بكثير من asp لاكن لن الهكر تعود عليها و فصفص ثغراتها اصبحت لكن طالع لاكبر السكربات هو vb كتب فيphp لاحظ انتشار php عن asp العيب ليس فيphp لكن العيب في مبرمج php كما هناك اخطاء وثغرات asp لكن لا يوجد احد يستخدمها ومنتشرة يعني عطني سكربت asp اقدر احمل من النت واركبه على موقعي مافيه اما سكربات php منتشرة بكل مكان طيب كيف اعرف ثغرات asp وهي غير موجوده إلا في مواقع نادرة وقليله ولا يوجد احد يستطيع تركيبها إلا اذا كان ببرمجته الخاصه تقول الحكمه من لا يعمل لا يخطاء وهذا منطبق على asp |
السلام عليكم ورحمة الله
انا عضو جديد في هذه المنتديات، وأرجو ان يكون تواجدي هنا سببا في الاستفادة وإفادة غيري بإذن الله، أثار سؤالك انتباهي و احببت ان ابدي رأيي في هذا السؤال الذي يشكل بحد ذاته مجالا خصبا لبحث يطول ولا ينتهي. في الواقع ، أمن التطبيقات والسكربتات يعتمد بالدرجة الأولى على الاسلوب الذي يتبعه المبرمج في كتابة الكود، أما اللغة بحد ذاتها فنادرا ماتساهم في التقليل من أمن السكربت لأن معظم اللغات تعطي المزود حرية تغيير إعدادات الأمان (مثل register_globals ، display_errors بالphp) ولأن مطوروا اللغة يستمرون بتحديث لغتهم بشكل مستمر فالثغرات التي تظهر باصدارة معينة غالبا ما يتم تجاوزها بالإصدارات التي يليها. أما فيما يخص السؤال الذي طرحه الأخ ملاك الحاسوب، فانا أرى - وقد تندهش لرأيي - ان البرمجة الخاصة عرضة للاختراق اكثر من غيرها، فإن لم يكن فريق البرمجة او المبرمج حذرا في كتابة سكربته فلن يكون هناك غيره لينتبه على عثراته، على عكس البرامج مفتوحة المصدر المطورة جماعيا open source/community-developed scripts. قد تتساءل، كيف يمكن اختراق سكربت لاتعرف شفرته المصدرية، وهنا يأتي مايسمى بالهجمات العمياء blind attacks والتي تعتمد بالدرجة الأولى على المحاولة tiral and error، وهي انواع كثيرة ولكن معظمها تبدأ بالمحاولة على المدخلات التي يطلبها البرنامج (الـ parameters) ، لأنه المدخلات - كما تعرف - هي الوسيلة الوحيدة للوصول إلى الشفرة المصدرية، وغالبا تدخل المدخلات في معالجة processing، فإن كانت القيمة المدخلة غير متوقعة فيمكن المخترق ان يغير مسلك المعالجة على حسب مايريد وإن كنت مهتما بانواع الهجمات التي تبدأ بالparameters فأعطيك امثلة عليها SQL Injections وهنا يفترض المخترق ان الparameter هو جزء من استعلام لقاعدة البيانات SQL Query، وكل ماعلى المخترق فعله هو تغيير الاستعلام ليناسب مراده مثال، افرض ان لديك الاستعلام التالي: إقتباس:
إقتباس:
إقتباس:
بمجرد ما استطاع المخترق بإدخال or 1=1 في الاستعلام فإن نتائج الاستعلام ستكون جميع الrows وهذا يشكل كشف خطير لمحتويات قاعدة البيانات، طبعا تحل هذه المشكلة باضافة ال \ (escape sequence) عند كل علامة تنصيص ، ومعظم اللغات صممت لتقوم بإضافة ال\ على جميع الاحرف الخاصة بمدخلات HTTP (POST & GET parameters) بشكل تلقائي ومن الهجمات الاخرى على المدخلات buffer overflows وعادة ماتكون على التطبيقات الشبكية وليس السكربتات مثل السيرفرات والbuffer overflow يقوم المخترق بإدخال parameter كبير اكثر مما هو متوقع ليتيح له الوصول إلى أماكن خارج حدود الbuffer (في الـstack أو الـheap) و إدخال أوامر معينة يرغب بتنفيذها (مثل adduser أو chmod) ، وهذه الاوامر تكون مكتوبة على شكل shellcodes بأحجام صغيرة والحديث يطول في هذا المجال ، ولكن خلاصة الحديث انه كلما كنت حذرا في كتابة الكود كلما ضمنت حماية اكبر ودائما تأكد من التحقق من المدخلات قبل البدء في معالجتهم وتوقع جميع الاحتمالات من المدخلات... و عذرا على الإطالة :) تحياتي،، ايمن نجار |
ما شاءالله عليك اخوي ايمن
قراء كل ردرودك في هذا المنتدى ما هي إلا درر جزاك الله خير اخوي استفدت منك كثير |
شكرا لك اخي ss-ksa أخجلت تواضعي :) يشرفني ان اكون سببا في افادة غيري
|
السلام عليكم ورحمة الله وبركاتة
أشكر الجميع على الردود الجميلة اعتذر عن التأخير سبب انشغالي لكن عندي بعض الأسئلة ما رأيكم في برمجة PHP لكن يكون نوع إمتداد الملفات التي تظهر أن تكون asp مثلا index.asp اصلها كود php وبهذه الطريقة ممكن احير الهاكرز لما يكتب كود asp او يحاول وما يلاقي نتيجة ايش رأيكم والسؤال الثاني هل في شركات تفحص حماية الموقع وتعطيني نتجية 100% |
اخوي صحيح في شركات حمايه لاكن ما اعتقد انها متوفرة بالعالم العربي
كان فيه شركة JASSC وكانت قويه حتى الصينين والاوربين يستخدمون البرامج حقتها بس توقف الموقع حقهم لا ادري ما السبب افحص السكربت اللي تريد تسويه من خلال برنامج فحص الثغرات وراح يطعل لك اغلب الثغرات include sql xss هذي اهم الثغرات فايل انكلود وحقن الوريد و ثغرات سرقة الكويكز |
إقتباس:
على اية حال قد تكون هناك طريقة افضل وهي استخدام اساليب الـ SEO لتغيير شكل الروابط لتبدو كموقع ساكن static - مثلا امتداد html - باستخدام الmod_rewrite وعلى اية حال برأيي الشخصي لن تستفيد تلك الفائدة العظمى من اخفاء لغة البرمجة المستخدمة وكما قلت سابقا فأنا أرى ان معظم الثغرات التي قد تظهر في موقع فهي من السكربتات أو من السيرفرات نفسها (مثلا ظهور ثغرة في مزود الـftp أو الـpop أو حتى الـhttp) لذلك حتى تضمن حماية اكبر فعليك دوما التأكد من أمان السكربتات والتطبيقات المنصبة على السيرفر وذلك بكتابة الكود بحذر والاستمرار بتحديث التطبيقات وإغلاق جميع المنافذ ports الغير مستخدمة وكما اشار أخي ss-ksa فإن اهم الثغرات تلك التي لخصها إقتباس:
إقتباس:
تحياتي أيمن نجار |
السلام عليكم ورحمة الله وبركاتة
شكراً للجميع واخص بالذكر ايمن النجار يعني ما شاء الله الواحد بيستفيد راح اسأل الشركة طيب ايش رأيكم بفكرة الورابط العشوائية يعني صفحة مثلا www.web.com/show.php تكون لما تفتحها www.web.com/asWV8spq.php والمرة الثانية تكون رابط أخر هل هذه فكرة كويسة؟ وهل برمجة الموقع بطريقة الفروم انك ما تقدر تعمل تراجع هل كويسة ولها فائدة؟ وشكراً |
إقتباس:
شركه JASSC اخترقوها بعد الاختراق تم اغلاق الشركه |
إقتباس:
لكن من اجل اختراق يغلق الموقع |
ملاك الحاسووب
اخووي ما فيه حمايه 100 % ولكن انت فبرمجة سكربت خاص راح تأمن نسبه كبييره من الهكر يعني تقدر تقوول اقل من 1 بالميه من الهكر لان المشاهد الوقت الحااضر الي يدعوون انهم هكر ليسو الا مجموعة أظفال يبحثوون عن ثغرات في مواقع السكيورتي ومن ثم يستثمرونها ولكن تقدر تطلق على السكربت الي صممته مصطلح محمي لان ما راح يخترقه الا الهكر الحقيقي المبرمج المحترف --------------------- اما بخصووص شركة JASSC اخترقوها في بداية ظهورها والظاهر اخترقوها مره ثاانيه فبالطبع موقع سكيورتي لا يستطيع ان يحمي نفسه لن يعتمد عليه ------------ اتمنى اكون افدتكم مثل ما استفدت منكم |
لوول الرجال يسال ويقول هل يمكن اختراق البرمجة الخاصة؟
اكيد لاء يمكن ابداا قطعيا لا نهائي السبب 1- عدم معرفت الهكر بالسكربت = عدم معرفته ببترمجته = عدم معرفته بثغرات الي راح يقدر يستفيد منها 2- السكربت المبرمج حتى ان وجد به ثغرات لا مكن اختراقه لمذا لعدم معرفة الهكر بالثغرات الي راح يستفيد منها للسبب ذاته 3- الهكر اذا بيخترق موقع عن طريق برنامج موجد بالموقع او شيء ينزل نفس نسخت البرنامج على جهازه الشخصي ويشوف نقاط الضعف فيها بعدين يبداء يستفيد من نقاط الضعف البرمجه الشخصيه مبهمه لدى الهكر ولا يستطيع الاستفاده منها الى اذا حصل على نسخه من البرنامج اترك من الي يقول يخترق سيرفر والعيب php انت سالت عن موضوع وهذ1 جوبه تحياتي |
إقتباس:
ماذا تسمى اختراق مايكروسفت هل مايكروسفت تستخدم سكربات منتشرة بالانترنت ولا برمجه خاصه ؟ مثل فقط |
إقتباس:
يا اخي نظام التشغيل OpenBٍSD يعتقد انه الاكثر امانا للعمل كسيرفر، بالرغم انه لا يحتوي سطر واحد خاص، وهو مفتوح المصدر ماتقوله يا اخ sami5261 هو العكس تماما للواقع :) |
جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 07:48 PM. |
Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012