الموضوع: هل يستطيع المشرف العام للمنتدى اختراق الاستضافه
عرض مشاركة مفردة
 
  #8  
قديم 03-01-2010, 02:11 PM
الصريح جداً الصريح جداً غير متصل
عضو
  
تاريخ التسجيل: May 2006
المدينة: جـ JeDDaH ـدة
مشاركة: 2,933
مستوى تقييم العضوية: 0
الصريح جداً is on a distinguished road
وسام الويب الذهبي وسام الويب الفضي وسام الويب البرونزي 
عدد الأوسمة: 3 (المزيد ...)
الافتراضي
اهلاً وسهلاً فيك طال عمرك

شوف انا باعطيك الطريقة ..

الآن سكريبت المنتدى لو اعطيت احد كافة الصلاحيات فيه ... وطلع هكر .. او عضويته انسرقت من هكر
وقدر يدخل لوحة تحكم المنتدى ...
ففيه خاصية خطيره المنتدى وهي المنتجات و الاضافات .. هذي طال عمرك يقدر يضيف اي كود php
لسكريبت المنتدى ... ويضيف اوامر php لاستدعاء شيلات على موقعك وعرضها عليها ..
بمجرد عرض الشيل على موقعك فـ هنا ... على حسب
هو شي أكيد في كل الحالات يقدر يخترق كل السكريبتات على موقعك بقراءة ملف الكونفيق
واخذ كلمة المرور وبيانات القاعدة منها .... طبعاً هذا اذا صلاحيته على الموقع Nobody ... ( يعني ما يقدر يسوي شي غير قراءة الملفات )
اما النقطة الثانية ... اذا كانت صلاحيته على موقعك User .. فهذا خلاص يقدر يتحكم بموقعك كامل ويوصل للسي بانل
وللملاحظة .. حتى وان كان Nobody .... يقدر عن طريق ثغرات السيرفر يتحكم بالسيرفر كامل
بموقعك مع كل المواقع الثانية فيه

بمعنى آخر ..... اذا كنت بتعطي واحد لوحة تحكم منتداك ... فانت كذا كانك سلمته موقعك كامل مع السيرفر
وللحماية من هذا الموضوع ...
اعطيه عضوية يقدر يدخل فيها لوحة التحكم ... وسوي له لوحة تحكم خاصة في مجلد خاص فيه
واحذف منها الخصائص الخطيرة .. مثل خاصية التعديل على قوالب المنتدى ورفع الاستايلات
والتحكم بالاضافات ورفع المنتجات .... والتحكم بالأعضاء ... والبقية ما تهم

وفقك الله

تشآآآو






التوقيع
كنتُ هنا يوماً ما ...