بحث متقدم | التسجيل
الويب العربي
  تسجيل دخول
 
   
   

  ملاحظة
الموقع متاح للإطلاع والقراءة فقط، المشاركة والمواضيع الجديدة غير متاحة حالياً لحين تطوير الموقع.




الموقع متاح للإطلاع والقراءة فقط، المشاركة والمواضيع الجديدة غير متاحة حالياً لحين تطوير الموقع.

عـودة للخلف   الويب العربي المركز التعليمي المجاني أمن المعلومات

أمن المعلومات مقالات, أخبار, مواضيع حول أمن المعلومات, وحماية أنظمة التشغيل, الشبكات, المواقع, البيانات السرية.

موضوع مغلق اضف موضوع جديد
 
خيارات الموضوع طريقة العرض
  #1  
قديم 07-12-2009, 11:13 PM
مخاوي الكيبورد مخاوي الكيبورد غير متصل
عضو
 
تاريخ التسجيل: Sep 2009
المدينة: KSA - TBOUK
مشاركة: 20
مستوى تقييم العضوية: 0
مخاوي الكيبورد is on a distinguished road
إرسال رسالة عبر MSN إلى مخاوي الكيبورد
Post تأمين تطبيقات الـ PHP من عدة ثغرات امنية



في هذا الدرس سنتطرق الى تأمين تطبيقات البي اتش بي من الثغرات الامنية .
سوف اشرح تأمين التطبيقات من ثغرات الـ Cross-site scripting او الـ XSS
و ثغرات الـ Remote File Include و ثغرات الـ Local File Include .
اما بخصوص التأمين من الـ SQL injection
سنتطرق لذلك في درس لأحق بأذن الله !
ملحوظة :
إقتباس:

بعض الثغرات التي سأشرح تأمينها قديمة او نادرة ان صح القول ولكن سأذكر ذلك للاحتياط الامني لاأكثر ولاأقل .



اولا :
ثغرات الـ Remote File Include
يعمل هذا النوع على تمكين المهاجم من ادراج ملف خارجي الى ملفات الموقع بشكل غير شرعي .
يقوم المهاجم على الاغلب من خلال هذه الثغرة بأدراج ملف phpshell
يستطيع من خلاله التلاعب بالموقع وقد يصل الى التلاعب بالخادم كاملا !

كيف يتم اصابة البرامج بهذه الثغرة ؟
تتم الاصابة عن طريق استخدام الدوال التالية بالبرنامج
( Include و Include_once و Require و Require_once )
متبوعة بالـ $ ( متغير ) . ناخذ مثالا لكود بسيط مصاب
كود PHP:
<?php
$ghost 
$_GET['hacked'];
include (
$ghost);
?>
بالسطر الاول من الكود تم وضع متغير بأسم ghost واعطائه القيمة التالية “hacked
وفي السطر الثاني من الكود تم استخدام الدالة include
واستخدام علامة الـ $ قبل اسم المتغير ghost من بين الاقواس .

كيف يمكنني تأمين البرامج من هذا النوع ؟
التأمين او الترقيع يكون عن طريق تعريف المتغير المصاب لـ ( ./ )
مثلا ترقيع الكود السابق من الثغرة يكون بهذا الشكل
كود PHP:
<?php
$ghost 
$_GET['hacked'];
$ghost ./;
include (
$ghost);
?>
مع استبدال ghost بأسم المتغير الملحق بالـ $ .


ثأنيا : ثغرات الـ Local File Include
يعمل هذا النوع على تمكين المهاجم من قراءة اكواد ملفات الموقع المصاب .

كيف يتم اصابة البرامج بهذه الثغرة ؟
تتم الاصابة بهذا النوع من الثغرات عن طريق بعض الدوال ومنها
( file و readfile و show_source و fread )
مثال على كود مصاب
كود PHP:
<?php
readfile
($hacked);
?>
نلاحظ استخدام الدالة readfile والـ $ مسبوق بـ hacked بداخل الاقواس .

كيف يمكنني تأمين البرامج من هذا النوع ؟
التأمين او الترقيع يكون عن طريق تعريف المتغير المصاب لـ ( ./ )
كما ثغرات الريموت فايل انكلود
مثال على نفس الكود المصاب اعلاه
كود PHP:
<?php
$hacked 
./;
readfile($hacked);
?>
مع استبدال hacked بأسم المتغير الملحق بالـ $ .


ثالثأ : ثغرات الـ XSS
يعمل هذا النوع على تمكين المهاجم من زرع اكواد
جافا سيكربت و HTML بالملف المصاب .
ينتج عن ذلك في معظم الاوقات تمكن المهاجم من سحب كوكيز
ادمن الموقع عن طريق ملف Log !
يختلف هذا النوع عن باقي الثغرات فأن تنفيذه
لأيكون على الموقع نفسه يكون على مستخدمين الموقع .

كيف يتم اصابة البرامج بهذه الثغرة ؟
تتم الاصابة بهذا النوع من الثغرات غالبا عن طريق المربعات ( search )
كمربع البحث الموجود ببعض برامج البي اتش بي .
مثال على كود مصاب
كود PHP:
<?php
print $_GET['hacked'];
?>


كيف يمكنني تأمين البرامج من هذا النوع ؟

التأمين او الترقيع يكون عن طريق الدوال التالية
( htmlentities or htmlspecialchars ) .
يكون ترقيع الكود اعلاه بهذا الشكل
كود PHP:
<?php
print htmlspecialchars($_GET['hacked']);
?>
نلاحظ اننا في عملية الترقيع وضعنا الدالة htmlspecialchars بعد print
واضفنا قوسين حول الـ $_GET .
وبهذا الشكل لن يتم تنفيذ استغلال الثغرة وسيتم عرضه بالصفحة فقط لأغير !

( المقال عبارة عن مجهود شخصي ارجو ذكر المصدر عن النقل ) .

المصدر مدونتي المتواضعة






التوقيع
My Blog
My username : Ghost Hacker
  #2  
قديم 08-12-2009, 12:22 AM
الصريح جداً الصريح جداً غير متصل
عضو
 
تاريخ التسجيل: May 2006
المدينة: جـ JeDDaH ـدة
مشاركة: 2,933
مستوى تقييم العضوية: 0
الصريح جداً is on a distinguished road
وسام الويب الذهبي وسام الويب الفضي وسام الويب البرونزي 
عدد الأوسمة: 3 (المزيد ...)
الافتراضي

يعطيك العافية .... ولكن من الجدير بالذكر ان المثال اللي وضعته مثال بسيط لكود مصاب ..

توجد أمثلة أخرة يمكن أن تصاب بثغرات مع كونها معقدة نوعاً ما ...

شكراً لك

تشآآآآو






التوقيع
كنتُ هنا يوماً ما ...
  #3  
قديم 08-12-2009, 01:13 PM
مخاوي الكيبورد مخاوي الكيبورد غير متصل
عضو
 
تاريخ التسجيل: Sep 2009
المدينة: KSA - TBOUK
مشاركة: 20
مستوى تقييم العضوية: 0
مخاوي الكيبورد is on a distinguished road
إرسال رسالة عبر MSN إلى مخاوي الكيبورد
الافتراضي

إقتباس:

اقتباس من مشاركة الصريح جداً   مشاهدة المشاركة

   يعطيك العافية .... ولكن من الجدير بالذكر ان المثال اللي وضعته مثال بسيط لكود مصاب ..

توجد أمثلة أخرة يمكن أن تصاب بثغرات مع كونها معقدة نوعاً ما ...

شكراً لك

تشآآآآو


اهلا بك ..
صحيح والاكواد التي وضعتها بالامثلة عبارة عن اكواد بسيطة جدا جدا
وممكن تختلف الاكواد بشكل اخر !
لكن الجدير بالذكر .. ان الشرح يفهمك هيكلية ترقيع هذا النوع من الثغرات
والباقي بسيط بأذن الله ومافيه تعقيد ..
منور موضوعي اخوي






التوقيع
My Blog
My username : Ghost Hacker
  #4  
قديم 10-12-2009, 01:56 PM
الصريح جداً الصريح جداً غير متصل
عضو
 
تاريخ التسجيل: May 2006
المدينة: جـ JeDDaH ـدة
مشاركة: 2,933
مستوى تقييم العضوية: 0
الصريح جداً is on a distinguished road
وسام الويب الذهبي وسام الويب الفضي وسام الويب البرونزي 
عدد الأوسمة: 3 (المزيد ...)
الافتراضي

إقتباس:

اقتباس من مشاركة مخاوي الكيبورد   مشاهدة المشاركة

   اهلا بك ..
صحيح والاكواد التي وضعتها بالامثلة عبارة عن اكواد بسيطة جدا جدا
وممكن تختلف الاكواد بشكل اخر !
لكن الجدير بالذكر .. ان الشرح يفهمك هيكلية ترقيع هذا النوع من الثغرات
والباقي بسيط بأذن الله ومافيه تعقيد ..
منور موضوعي اخوي


هههههه بنورك ... اعذرني شكلك فهمت ردي تنقيص من موضوعك ..
بس لابد من ذكر ان هذي الأخطاء .. هي أخطاء بسيطة .. فيه أخطاء معقدة تحتاج للتدقيق
وكشفها ماهو بهذي السهولة ... هذا بالنسبة للزائر اللي حاب ياخذ معلومه أدق ..
ولاموضوعك ما عليه غبار

واسف على ازعاجك ..
تشآآآو






التوقيع
كنتُ هنا يوماً ما ...
  #5  
قديم 10-12-2009, 03:23 PM
مخاوي الكيبورد مخاوي الكيبورد غير متصل
عضو
 
تاريخ التسجيل: Sep 2009
المدينة: KSA - TBOUK
مشاركة: 20
مستوى تقييم العضوية: 0
مخاوي الكيبورد is on a distinguished road
إرسال رسالة عبر MSN إلى مخاوي الكيبورد
الافتراضي

إقتباس:

اقتباس من مشاركة الصريح جداً   مشاهدة المشاركة

   هههههه بنورك ... اعذرني شكلك فهمت ردي تنقيص من موضوعك ..
بس لابد من ذكر ان هذي الأخطاء .. هي أخطاء بسيطة .. فيه أخطاء معقدة تحتاج للتدقيق
وكشفها ماهو بهذي السهولة ... هذا بالنسبة للزائر اللي حاب ياخذ معلومه أدق ..
ولاموضوعك ما عليه غبار

واسف على ازعاجك ..
تشآآآو


لا يا اخوي لا ازعجتني ولا شئ بالعكس معك الحق بكل كلمة قلتها
بس لو يطلع اي احد لعدة اكواد ترقيع لثغرات مختلفة راح يفهمها
وحياك الله مره ثانية






التوقيع
My Blog
My username : Ghost Hacker
موضوع مغلق



خيارات الموضوع
طريقة العرض

قوانين المشاركة
لا يمكنك إضافة موضوع جديد
لا يمكنك الرد على المواضيع
لا يمكنك إضافة مرفقات
لا يمكنك تعديل مشاركاتك

كود vB متاح
كود [IMG] متاح
كود HTML مغلق
إنتقل إلى

مواضيع مشابهة
الموضوع الكاتب القسم مشاركة آخر مشاركة
أستايل سكربت التوبيكات .. استايل امنية ..!! le2l.org قسم المنتديات 0 16-05-2009 06:26 AM
مجرد امنية عزيزتي Google أبو عيــاد المنتدى العام 9 28-03-2009 05:18 AM
http://www.5zn.cc (شبكة الإسلامية لحماية المواقع - فحص ثغرات - وسد ثغرات ) شبكة فاعل الخير أخبار المواقع 2 23-06-2008 07:19 AM
[ عرض تأمين المواقع بمحتوياتها ] الصريح جداً عروض البرمجة والتصميم والتطوير 21 22-06-2008 12:19 PM
استضافتك في يد امنية ahm2d مزاد المواقع 0 01-04-2007 10:09 PM


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 01:48 AM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


 
 »  خدمات البرمجة   »  رئيسية الدليل
  »  خدمات التصميم   »  الأمن والحماية
  »  الدعاية والتسويق
  »  الدعم والتطوير
  »  الشركات الرسمية
  »  حجز دومينات
  »  خدمات الإستضافة
 
 
  »  مكتبة الإستايلات   »  رئيسية المكتبة
  »  أكواد برمجية   »  أدوات الويب ماسترز
  »  مكتبة الهاكات   »  أدوات المصممين
  »  سكربتات متنوعة
  »  مجلات إلكترونية
  »  بلوكات متنوعة
  »  ثيمات مختلفة
 
 

صحيفة متخصصة في متابعة أخبار وجديد الإنترنت العربي
والحوارات الصحفية ومعلومات تقنية متنوعة .

   
 
 

للتواصل مع فريق عمل الويب العربي
يمكنك ذالك من خلال مركز الدعم والمساندة.

 الدعم الفني |  اعتماد العضويات |  قوانين الإنتساب |  إتفاقية الإستخدام |  أهداف الويب العربي |  دليل الشركات |  مكتبة الويب |  صحيفة الويب العربي |  الرئيسية