تراجع إلى الخلف   :: TRAIDNT FORUM :: > قسم تطوير المنتديات > ركن تطوير منتديات vb3.8.0 > أرشيف تطوير منتديات vb3.0.0
اعادة تحديث هذه الصفحة ثغرة التصريح 777
التسجيل دعوة أصدقائك البحث مشاركات اليوم أعتبر مشاركات المنتدى مقروءة

أرشيف تطوير منتديات vb3.0.0 :: يمنع منعاً باتا ً .. كتابة أي موضوع يهتم بمشاكل المنتديات (( يمنع وضع نسخ vBulletin ))

ثغرة التصريح 777

السلام عليكم ورحمة الله وبركاته أخواني الأعضاء فيمعهد ترايدنت لاحظت أن الأغلبيه يستخدم سكربتات لرفع الملفات في موقعه وهذه السكربتات كثيره منها ماهو أمن ومنها

 
 
LinkBack
  #1  
قديمة 07 - 12 - 2005, 12:49 abo3mar غير متواجد حاليآ بالمنتدى
صورة 'abo3mar' الرمزية
:: عضو نشيط ::
بيانات موقعي
اسم الموقع: شبكة أبناء مكة
اصدار المنتدى: VB 3.6.7 PL1
 






abo3mar على طريق الابداعabo3mar على طريق الابداع
أرسل رسالة بواسطة MSN إلى abo3mar أرسل رسالة بواسطة Yahoo إلى abo3mar أرسل رسالة بواسطة Skype™ إلى abo3mar
افتراضي ثغرة التصريح 777
السلام عليكم ورحمة الله وبركاته

أخواني الأعضاء فيمعهد ترايدنت
لاحظت أن الأغلبيه يستخدم سكربتات لرفع الملفات في موقعه وهذه السكربتات كثيره منها ماهو أمن ومنها ماهو غير أمن ، وهذه السكربتات تشترط منك ياصاحب الموقع أن تقوم بعمل تصريح 777 او تصريح 707 لمجلد معين وهذه التصاريح تسمح لزوار موقعك بالكتابه في المجلد الذي قمت أنت بتصريحه.
الخطوره هنا من ملفات الـ php لأنها تحتوي على تعليمات برمجيه يتم تنفيذها داخل خادم الموقع .
فلو قام أحد الأطفال المخترقين من رفع ملف php إلى الخادم بأي ثغرة كانت فسوف يبحث عن المجلدات ذات تصريح 777 أو 707 لأن صلاحياته صلاحيات زائر وحين يجد هذه المجلدات فسوف يستخدمها كمعسكر لملفاته وسكربتاته مثل : PHPShell ، MySQLInterface ............. الخ بعدها سيصل إلى ملفات موقعك وبعدها أنت تعلم ماذا سيفعل

إذن ما الحل الصحيح لهذه المجلدات !؟!؟

الحل طبعاً بتعطيل تنفيذ الـ php داخل هذه المجلدات عن طريق تعليمه تضيفها في ملف الـ .htaccess وهي :

رمز PHP:
php_flag engine off 

بعدها تقوم برفع ملف الـ .htaccess الى كل المجلدات ذات تصريح 777 .

وللتجربه قم برفع اي سكربت php للمجلدات ذات التصاريح 777 والتي تحتوي على الـ htaccess وقم بالدخول على هذا السكربت وشاهد النتيجه .
سوف تجد أن السكربت لم يقم الخادم بتنفيذه

ملف .htaccess مرفق


طبعا مدري لو كان الموضوع موجود من قبل

وهو منقول للفائدة


الملفات المرفقة
نوع الملف : txt htaccess.txt (19 بايت, عدد مرات المشاهدة 51 مرة)
توقيع abo3mar
سبحان الله وبحمده سبحان الله العظيم
  رقم المشاركة : [ 2 ]
قديمة 07 - 12 - 2005, 12:59 الرهيب غير متواجد حاليآ بالمنتدى
:: عضو نشيط ::
 
صورة 'الرهيب' الرمزية
 


الرهيب على طريق الابداعالرهيب على طريق الابداع
بيانات موقعي
اصدار المنتدى: لا أملك منتدى
افتراضي
جزاك الله كل خير
مشكور على التنبيه
الرهيب
أضفني كصديق
توقيع الرهيب
MY BB 27A61967
 
  رقم المشاركة : [ 3 ]
قديمة 07 - 12 - 2005, 13:25 الطاير غير متواجد حاليآ بالمنتدى
::عضو شرف::
 
صورة 'الطاير' الرمزية
 


الطاير مبدع بلا حدودالطاير مبدع بلا حدودالطاير مبدع بلا حدودالطاير مبدع بلا حدودالطاير مبدع بلا حدودالطاير مبدع بلا حدودالطاير مبدع بلا حدودالطاير مبدع بلا حدودالطاير مبدع بلا حدودالطاير مبدع بلا حدودالطاير مبدع بلا حدود
بيانات موقعي
اسم الموقع: ::+: معهد ترايدنت :+::
اصدار المنتدى: لا أملك منتدى
افتراضي
أعتقد أخوي أن الدالة الخطرة يفضل تعديلها بعد تركيب السكربتات

لأنها هيك راح تمنع القدرة على التنصيب للسكربتات

وأنت بتعرف أن معظم المواقع تعتمد على السكربتات والكثير منها يطلب التصريح

مشكور أخوي على التنبيه والله يعطيك العافية
الطاير
أضفني كصديق
توقيع الطاير
____________________ ____________________
____________________ ____________________
 
  رقم المشاركة : [ 4 ]
قديمة 07 - 12 - 2005, 14:08 x_5 غير متواجد حاليآ بالمنتدى
x_5
:: TRAIDNT ::
:: رفيق الدرب ::
 
صورة 'x_5' الرمزية
 


x_5 مبدع بلا حدودx_5 مبدع بلا حدودx_5 مبدع بلا حدودx_5 مبدع بلا حدودx_5 مبدع بلا حدودx_5 مبدع بلا حدودx_5 مبدع بلا حدودx_5 مبدع بلا حدودx_5 مبدع بلا حدودx_5 مبدع بلا حدودx_5 مبدع بلا حدود
بيانات موقعي
اسم الموقع: vbulletin.ae
اصدار المنتدى: :: مجتمع ترايدنت ::
افتراضي
يعطيك العافية اخوي
x_5
أضفني كصديق
توقيع x_5
‏​‏​كُنْ فيْ الْحياهْ كَعابر سبيلٍ وَاتْرُكْ وراءكَ كُل أثرِ جَميل
فَما نَحنُ فِيْ الدُنيا إِلَاضُيُوْف وَما عَلى الضيوْفِ إِلَاالرحيل
واحــد مـــ x_5ـــن النـاس ©
 
  رقم المشاركة : [ 5 ]
قديمة 07 - 12 - 2005, 14:46 القيصــــر غير متواجد حاليآ بالمنتدى
:: عضو شرف ::
 
صورة 'القيصــــر' الرمزية
 


القيصــــر مبدع بلا حدودالقيصــــر مبدع بلا حدودالقيصــــر مبدع بلا حدودالقيصــــر مبدع بلا حدودالقيصــــر مبدع بلا حدودالقيصــــر مبدع بلا حدودالقيصــــر مبدع بلا حدودالقيصــــر مبدع بلا حدودالقيصــــر مبدع بلا حدودالقيصــــر مبدع بلا حدودالقيصــــر مبدع بلا حدود
بيانات موقعي
اسم الموقع: مؤسسة العويبدي
اصدار المنتدى: مدونات
افتراضي
بارك الله فيك
القيصــــر
أضفني كصديق
توقيع القيصــــر
حبـــها وسط الحشا مايمحيــ ..!!
لاوعهد اللهـ لوطــالـ الزمـانـ ..!!
 
  رقم المشاركة : [ 6 ]
قديمة 07 - 12 - 2005, 14:49 abo3mar غير متواجد حاليآ بالمنتدى
:: عضو نشيط ::
 
صورة 'abo3mar' الرمزية
 


abo3mar على طريق الابداعabo3mar على طريق الابداع
أرسل رسالة بواسطة MSN إلى abo3mar أرسل رسالة بواسطة Yahoo إلى abo3mar أرسل رسالة بواسطة Skype™ إلى abo3mar
بيانات موقعي
اسم الموقع: شبكة أبناء مكة
اصدار المنتدى: VB 3.6.7 PL1
افتراضي
شكرا لكم على المرور

وتسلمون على الرد

اقتباس
  المشاركة الأصلية أضيفت بواسطة : الطاير
أعتقد أخوي أن الدالة الخطرة يفضل تعديلها بعد تركيب السكربتات

لأنها هيك راح تمنع القدرة على التنصيب للسكربتات

وأنت بتعرف أن معظم المواقع تعتمد على السكربتات والكثير منها يطلب التصريح

مشكور أخوي على التنبيه والله يعطيك العافية

طبعا صحيح كلامك ولكن هذي للملفات الموجوده بالاساس بالموقع

يعني لو بغيت ترفع ملفات على مجلد تصريح 777 ممكن تعدل htaccess

لان له اكثر من استخدام واكثر الملفات فيها htaccess ولكن لغرض اخر

ومن بينها التحويل او منع إمتداد معين او او الخ
توقيع abo3mar
سبحان الله وبحمده سبحان الله العظيم
 
  رقم المشاركة : [ 7 ]
قديمة 07 - 12 - 2005, 14:53 shorbagy غير متواجد حاليآ بالمنتدى
.:: عضو متألق ::.
 


shorbagy مبدع بلا حدودshorbagy مبدع بلا حدودshorbagy مبدع بلا حدودshorbagy مبدع بلا حدودshorbagy مبدع بلا حدودshorbagy مبدع بلا حدودshorbagy مبدع بلا حدودshorbagy مبدع بلا حدودshorbagy مبدع بلا حدودshorbagy مبدع بلا حدودshorbagy مبدع بلا حدود
بيانات موقعي
اصدار المنتدى: لا أملك منتدى
افتراضي
يعيطك العافية اخوي
shorbagy
أضفني كصديق
توقيع shorbagy
يارب سترك ورضاك وعفوك عنا يارب
 
  رقم المشاركة : [ 8 ]
قديمة 07 - 12 - 2005, 15:13 abo3mar غير متواجد حاليآ بالمنتدى
:: عضو نشيط ::
 
صورة 'abo3mar' الرمزية
 


abo3mar على طريق الابداعabo3mar على طريق الابداع
أرسل رسالة بواسطة MSN إلى abo3mar أرسل رسالة بواسطة Yahoo إلى abo3mar أرسل رسالة بواسطة Skype™ إلى abo3mar
بيانات موقعي
اسم الموقع: شبكة أبناء مكة
اصدار المنتدى: VB 3.6.7 PL1
افتراضي
الله يعافيك
abo3mar
أضفني كصديق
توقيع abo3mar
سبحان الله وبحمده سبحان الله العظيم
 
  رقم المشاركة : [ 9 ]
قديمة 07 - 12 - 2005, 15:26 الحاج متولى غير متواجد حاليآ بالمنتدى
:: عضو جديد ::
 


الحاج متولى يستحق التميز
أرسل رسالة بواسطة MSN إلى الحاج متولى
بيانات موقعي
اسم الموقع: الحاج متولى نت
اصدار المنتدى: لا أملك منتدى
افتراضي
شكرا على التنبيه اخى الكريم
يديك الف عافية
والموضوع مهم جدا وفى غاية الاهمية
تحياتى لك
الحاج متولى
أضفني كصديق
 
  رقم المشاركة : [ 10 ]
قديمة 07 - 12 - 2005, 15:36 abo3mar غير متواجد حاليآ بالمنتدى
:: عضو نشيط ::
 
صورة 'abo3mar' الرمزية
 


abo3mar على طريق الابداعabo3mar على طريق الابداع
أرسل رسالة بواسطة MSN إلى abo3mar أرسل رسالة بواسطة Yahoo إلى abo3mar أرسل رسالة بواسطة Skype™ إلى abo3mar
بيانات موقعي
اسم الموقع: شبكة أبناء مكة
اصدار المنتدى: VB 3.6.7 PL1
افتراضي
العفو
abo3mar
أضفني كصديق
توقيع abo3mar
سبحان الله وبحمده سبحان الله العظيم
 
  رقم المشاركة : [ 11 ]
قديمة 07 - 12 - 2005, 17:59 السكب غير متواجد حاليآ بالمنتدى
:: عضو نشيط ::
 


السكب يستحق التميزالسكب يستحق التميز
بيانات موقعي
اصدار المنتدى: :: مجتمع ترايدنت ::
افتراضي
مشكور

بس فيه شي ما فهمته

مثلا انا عندي موقع تحميل

امتداده vb/up/upload
up<<<< هاذا فيه ملفات ما ادري ويش هي ههههههه

upload<<<< هاذا فيه الصور والملفات اللي رفعت للمركز

في اي ملف احط الملف اللي تقول ؟؟
السكب
أضفني كصديق
 
  رقم المشاركة : [ 12 ]
قديمة 09 - 12 - 2005, 13:40 سراج الصباغ غير متواجد حاليآ بالمنتدى
:: عضو نشيط ::
 
صورة 'سراج الصباغ' الرمزية
 


سراج الصباغ يستحق التميزسراج الصباغ يستحق التميز
أرسل رسالة بواسطة MSN إلى سراج الصباغ أرسل رسالة بواسطة Yahoo إلى سراج الصباغ أرسل رسالة بواسطة Skype™ إلى سراج الصباغ
بيانات موقعي
اسم الموقع: منتديات أبناء مكة
اصدار المنتدى: 4.0.3
افتراضي
اخوي بو عمر الله يعطيك الف عافية

تسلم على التنيه


اقتباس
  المشاركة الأصلية أضيفت بواسطة : السكب
مشكور

بس فيه شي ما فهمته

مثلا انا عندي موقع تحميل

امتداده vb/up/upload
up<<<< هاذا فيه ملفات ما ادري ويش هي ههههههه

upload<<<< هاذا فيه الصور والملفات اللي رفعت للمركز

في اي ملف احط الملف اللي تقول ؟؟


هذا الطريقة عشان لا احد يرفع ملفات من نوع بي اتش بي

يعني اي ملف تصريحه 777 تحط تحط داخله htaccess المعدل
 
  رقم المشاركة : [ 13 ]
قديمة 09 - 12 - 2005, 18:28 Miss Dntil غير متواجد حاليآ بالمنتدى
:: عضو نشيط ::
 
صورة 'Miss Dntil' الرمزية
 


Miss Dntil Miss Dntil Miss Dntil Miss Dntil Miss Dntil Miss Dntil Miss Dntil
بيانات موقعي
اسم الموقع: منتديات دنتيل دوت كوم
اصدار المنتدى: منتج اخر
افتراضي
تسلم يالنشمي
عالتنبيه
Miss Dntil
أضفني كصديق
 
 

العلامات المرجعية

« الموضوع السابق | الموضوع التالي »
أدوات الموضوع
طرق العرض
العرض العادي العرض العادي

ضوابط المشاركة
لا يمكنك اضافة مواضيع جديدة
لا يمكنك اضافة مشاركات
لا يمكنك اضافة مرفقات
لا يمكنك تعديل مشاركاتك
رمز [IMG] : متاحة
رمز HTML : معطّلة
المراجع : معطّلة
Refbacks are متاحة



الساعة معتمدة بتوقيت جرينتش +3 . الساعة الآن : 23:08.
المعهد غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء
فعلى كل شخص تحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه
التعليقات المنشورة لا تعبر عن رأي معهد ترايدنت ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر)

إتصل بنا - :: TRAIDNT :: - الأرشيف - Privacy-Policy - اعلى

Powered by vBulletin® Version 3.8.7
.Copyright ©2000 - 2012, Jelsoft Enterprises Ltd

SEO by vBSEO 3.6.0 ©2011, Crawlability, Inc.