المتخصصون في حماية المواقع ....امل الدخول عاجلاً

img · #1 24-09-2007, 03:58 PM

بسم الله الرحمن الرحيم

اخواني تم الانتهاء من تصميم موقع (برمجه خاصه)هو عبارة عن متجر متواضع ولله الحمد .

عندي مشكله وهي انني اخاف ان يكون هناك ثغرات او مشاكل في الموقع قد تتسبب في اختراقه او تعرضه لبعض المشاكل

المطلوب //

ماهي الاشياء التي يمكن التركيز عليها لحماية الموقع ؟

هل هناك شركات او افراد يمكن ان يقومو بعمل تقرير كامل عن الموقع وثغراته ومشاكله ؟ وماهي طلباتهم واسعارهم؟

اخواني لاتبخلون علي بالنصيحه

{اللهم من اعانني وساعدني وفقه اللهم يسر اموره وارزقه رزق طيبا مبارك فيه ياحي ياقيوم }

ss-ksa.com · #2 24-09-2007, 05:52 PM

اخوي استخدم سيرفر للموقع فقط

يعني لا تحط الموقع مع اي موقع ثاني في نفس السيرفر هذا اهم شي

ثانيا استخدم نظام للينكس للسيرفر وانصحك جدا جدا ان لا يتجاوز عمر كرنل النظام عن سنه

وتاكد من الثغرات بالذات فايل انكلود و ثغرات حقن الوريد اللي يستخدم فيها تعليمات sql

وفيه برامج تفحص لك الثغرات وطلع كل الثغرات

وغير كذا حاول تحدث برامج السيرفر كل فترة مثل خادم ftp و الاباتشي وغيرها

وانا بالخدمه .

بالتوفيق اخوي

OneClick.Jo · #3 24-09-2007, 05:59 PM

هلا بيك اخوي انا ما احب ازيد على كلام الاخ لكن اهم شي ركز على حماية السيرفر وحماية اي سكربت تركبه
وانا الان رح اعطيك برنامج يفحص لك ثغرات السكربت فقط اضغط brows ورح يضهر لك كل شي بجهازك انت حدد على مجلد السكربت او البرمجه الي مبرمجه وهو يجيب لك وين الثغرات وبأي ملفات وبأي سطر وما نبي منك الا الدعاء
اخوي البرنامج مضمون 100% وما في اي شي والله
وشكرا
بالمرفقات البرنامج

ss-ksa.com · #4 24-09-2007, 06:06 PM

اخوي البرنامج اللي ذكرته ليس مضمون لانه يظهر ثغرات ليست موجوده او ما يظهر ثغرات موجوده وانا كتبت موضع كامل في احد المنتديات عن فشل هذا البرنامج مع الاسف رغم اني كنت متحمس له للغايه

تقبل مروري

nabduae · #5 24-09-2007, 06:22 PM

اولا موفق اخوى وتوكل على الله وبالنسبة للحماية الثغرات ما بتنتهى لان فكرة المنتديات على الدوال

وطريقة الدوال هى اساس الهكر وبالنسبة للبرنامج صح كلام اخوى البرنامج عن تجربة غير مجدى وانا عندى

برنامج اقوى بس للاسف استعملوة للهكر بدل الحماية اهم شى انك دوم تحاول تشوف التحديثات والثغرات

وبالتوفيق ان شاء الله

img · #6 24-09-2007, 09:26 PM

خواني
ss-ksa.com
TH.D
nabduae

شكرا لمروركم واسئل الله ان يوفقكم ويرزقكم ويسهل اموركم

انا موقعي مثل ماقلت لكم موقع برمجه خاصه (متجر)بسيط وليس منتدى

الله يعطيكم العافيه انا صراحه مافهم كثير في هذه المواضيع ياليت اذا ممكن تذكرون لي نقاط اقولها للمبرمج واخليه يركز عليه وينتبه لها

ومن ناحية الاستضافه راعي الاستضافه الي انا عنده مايقصر ابد و رجال متابع لشغله وحريص.. على سيرفراته

شكرا لسعة صدركم .....

img · #7 26-09-2007, 07:07 PM

اخواني محتاج مساعدكم ...

Ayman Najjar · #8 02-10-2007, 03:07 AM

السلام عليكم

اخي الكريم، هذه بعض النصائح التي طرأت على بالي لتأمين السكربت:
1. تأكد من ان تلغي فعالية جميع علامات التنصيص من الparameters قبل ان تستخدمهم، هذا الكود يساعدك

إقتباس:

	<?php if (get_magic_quotes_gpc()) { function stripslashes_array($array) { return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array); } $_COOKIE = stripslashes_array($_COOKIE); $_FILES = stripslashes_array($_FILES); $_GET = stripslashes_array($_GET); $_POST = stripslashes_array($_POST); $_REQUEST = stripslashes_array($_REQUEST); } ?>

2. تأكد من الـ register_globals ملغاة، وحاول الابتعاد عن استخدم extract للمدخلات
3. لا تقم بعرض المدخلات مباشرة داخل الصفحة لأنك قد تعرض السكربت لهجمات Cross-Site Scripting
مثال
ان كان لديك السطر التالي في برنامجك

إقتباس:

	echo "Hi ". $_GET['user'];

فيمكن لمخترق ان يضع شفرة جافاسكربت لتعرض في المتصفح
مثلا
url.php?user=<script>alert('hi')</script>

لذا تأكد ان تقوم باستخدام strip_tags أو htmlspecialchars
قد يخيل لك ان هذا النوع من الهجمات غير خطير، لكنه قد يتيح للمخترق ان يجلب بيانات الdcidcicookies المخزنة لدى المستخدمين الآخرين أو قد يسمح له بإدخال محتويات غير مرغوب بها في الموقع

4. طبعا حاول استخدام تشفير md5 قبل تخزين كلمات المرور في قاعدة البيانات
5. لاتقوم باستدراج ملف آخر عن طريق احد المدخلات
مثال

إقتباس:

	include ($_GET['page'])

بإمكان المخترق ان يفتح
url.php?page=.htpasswd
تأكد انك قمت بوضع قيم صحيحة في open_basedir في php.ini

طبعا مهما كان السكربت مكتوب بطريقة آمنة، فهو ليس آمن مالم يكن السيرفر نفسه آمن وجميع السكربتات في الموقع آمنة

تحياتي
ايمن نجار

Ayman Najjar · #9 02-10-2007, 03:21 AM

6. دائما تأكد من منع محاولات الـ bruteforcing وذلك بالسماح بعدد محدد من المحاولات الخاطئة عند تسجيل الدخول، ثم حجب المستخدم من تسجيل الدخول لمدة زمنية معينة مثلا 10 دقائق، أو مثل إجبار المستخدم على كتابة الاحرف في صورة captcha لتسمح له بالدخول

runvirus · #10 09-10-2007, 05:33 AM

بسم الله الرحمن الرحيم

بالنسبه لطلبك عمل تقرير عن موقعك و السكربات اللي عليه ضفني علي الاميل وان شاء الله اقوم بعمل تقرير ليك كامل
stormhacker@hotmail.com