[العبقري]

الى خبراء لغة html (مهم جدا) !! فقط للخبراء لا غير


أنا عامل سماح لملفات من نوع html أن يتم رفعها بمركز التحميل ومانع ملفات الـ php

هل تشكل ملفات html خطرا على مركز التحميل في اختراق موقعي ؟؟؟

ويا ريت يكتب لي مثال على ذلك بكود خطير يسمح بالاختراق اذا كان يتسبب بذلك وشكرا .

[abdullah]

ممكن تسبب ثغرة

اذا كان الاباتشي يترجم ال html على اساس انة php

يمكن كلامي مو واضح لاكن اهي متعلقة بال Mime

بحيث يتم ترجمة ال اتش تي ام ال على اساس انة ملف بي اتش بي او ممكن يسوي انكلود

او يقدر يسوي مليون فكرة و فكرة اقل ما فيها صفحات html ملغمة بالفايروس

[مهووس نت]

كلام abdullah صحيح فلو تم المنع فقط عن طريق MIME سيسبب خطر كبير جدا

يمكن أعادة برمجة و تعديل ملف شل مبرمج بال بى اتش بى مثلا
و رفعة على الامتداد html
و يتم تنفيذ أوامر الشل التى هى فى الأصل php

[Xtra-Hosting.com]

لا مفيش منها اي خطر... و بالنسبة لتشغيلها كphp فدا صعب يحصل مادام انت معملتهوش
هوا Default بيكون شغال عادي : text/html

[اخو عزيزه]

اكسترا الحين داخل ملف html استطيع عمل الاتي

?>
php code
<?

يبقى الامتداد هتمل ولكن كود ال php يتنفذ

هذا مايشكل خطر ؟

[العبقري]

اخواني الأعزاء بالنسبة لحركة استخدامه كشل أنا جربتها وما نفعت لأنه ما يقراها

ولكن أنا أقصد انه يكون html ولادخل للغة php أبدا

[اخو عزيزه]

مو لازم يكون شل

داله وحده بامكانها تعدم السيرفر :d

الا اذا كنت مسوي هت اكسز ومعطل قراءه php php3 pl cgi ... الخ

[مهووس نت]

مادم يمكن لملف html عمل و تنفيذ دالة لى php أذن يمكنة تنفيذ أوامر الشل لكن الموضوع ليس بسيط اى لا ينفع أن تقوم بتغير ملف مثلا c99.php الى c99.html لانه لن يعمل بالشكل السيليم لكن بعد تعديل سطور ملف الشل او البى اتش بى يمكنة يعمل و بسهولة
و قد لا تعمل أوامر الشل أو أوامر php المختصة بالسيرفر
و هذا يعتمد على حماية السيرفر و التصاريح

[العبقري]

أخواني الأعزاء أنا عامل ملف hetacses.

ومعطل قراءه php php3 pl cgi

سؤالي هل يمكن استغلال الـ html مع اني معطل الأشياء هذي

يعني في كود خاص بلغة html

[فقير الحظ]

أخوي العبقري .:

الأن مثلا سويت صفحة اختراق ,,
وحفظ بأسم [ index.gif ] راح يرفعها ويدخل عالرابط من المتصفح
راح يطلع له صفحة اختراقه الكود Html ولكن الصيغه صورة Gif
فـ فيه سكريبت مركز تحميل الصور محمي بنسبه 90 % تقريباً >>>
مثال.: بترفع صورة بأسم ss وبأمتداد jpg يوم ترفعه وتضغط رفع بالسكريبت
بيعطيك النتيجه [ xxx.com/s3424343.jpg ]
زيــ مراكز لمواقع المعروفه ولكن لوا يضيفون صيد كود php , html بتكون الحماية 100000000%100

أما

إقتباس: ويا ريت يكتب لي مثال على ذلك بكود خطير يسمح بالاختراق اذا كان يتسبب بذالك

اظن كان معي هذه الكود الخطر الي ترفع شل بأمتداد صورة ويتنفذ كـ PHP ولكن بتعدل عالسكريبت الي تبي ترفعه Shells
ومصـاب بهذه الكود الي اقول عنه المنتدى العربي برمجة الماستر سابقاً وتم التبيلغ والترقيع

Byee

[M!do]

قم بتحويل لملف html اللى ملف php عن طريق برنامج ما ازكر اسمه حتى يتم قبول ملفات php ... وملفات اخرى

[Xtra-Hosting.com]

حتى الطرق اللي انتوا بتقولوها ممكن تتعدى
Xtra-Hosting.com Global Upload Extension Transveral Security
كمثال على سيرفر لطريقة حماية الأبلودرات كلها او في اي مكان في السيرفر..

http://www.xtra-hosting.com/1.php.rar
http://www.xtra-hosting.com/1.jpg.php
http://www.xtra-hosting.com/1.php.xtra
http://www.xtra-hosting.com/1.xtra.php
.......................................
وكمان في المسارات اللي صلاحياتها 777 للرفع
http://w0rm.securitygurus.net/SG/1.php

لكن بالنسبة لل HTML جربها و هتلاقي ان الكود هيطلع TEXT !!!
لكن تفرق اذا كان اليوزر ليه Local Access ممكن يخلي الامتداد html يشغل php

[فقير الحظ]

إقتباس: قم بتحويل لملف html اللى ملف php عن طريق برنامج ما ازكر اسمه حتى يتم قبول ملفات php ... وملفات اخرى

دبر لنا وصلة هل برنامج او اسمه عل اقل Plz

[فقير الحظ]

إقتباس: حتى الطرق اللي انتوا بتقولوها ممكن تتعدى Xtra-Hosting.com Global Upload Extension Transveral Security كمثال على سيرفر لطريقة حماية الأبلودرات كلها او في اي مكان في السيرفر.. http://www.xtra-hosting.com/1.php.rar http://www.xtra-hosting.com/1.jpg.php http://www.xtra-hosting.com/1.php.xtra http://www.xtra-hosting.com/1.xtra.php ....................................... وكمان في المسارات اللي صلاحياتها 777 للرفع http://w0rm.securitygurus.net/SG/1.php لكن بالنسبة لل HTML جربها و هتلاقي ان الكود هيطلع TEXT !!! لكن تفرق اذا كان اليوزر ليه Local Access ممكن يخلي الامتداد html يشغل php

تمام ياباشا ,,