المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : ثغرة التصريح 777


MaKkAh BoY
0 07th December 2005, 09:0:39 PM
السلام عليكم ورحمة الله وبركاته

أخواني الأعضاء
لاحظت أن الأغلبيه يستخدم سكربتات لرفع الملفات في موقعه وهذه السكربتات كثيره منها ماهو أمن ومنها ماهو غير أمن ، وهذه السكربتات تشترط منك ياصاحب الموقع أن تقوم بعمل تصريح 777 او تصريح 707 لمجلد معين وهذه التصاريح تسمح لزوار موقعك بالكتابه في المجلد الذي قمت أنت بتصريحه.
الخطوره هنا من ملفات الـ php لأنها تحتوي على تعليمات برمجيه يتم تنفيذها داخل خادم الموقع .
فلو قام أحد الأطفال المخترقين من رفع ملف php إلى الخادم بأي ثغرة كانت فسوف يبحث عن المجلدات ذات تصريح 777 أو 707 لأن صلاحياته صلاحيات زائر وحين يجد هذه المجلدات فسوف يستخدمها كمعسكر لملفاته وسكربتاته مثل : PHPShell ، MySQLInterface ............. الخ بعدها سيصل إلى ملفات موقعك وبعدها أنت تعلم ماذا سيفعل

إذن ما الحل الصحيح لهذه المجلدات !؟!؟

الحل طبعاً بتعطيل تنفيذ الـ php داخل هذه المجلدات عن طريق تعليمه تضيفها في ملف الـ .htaccess وهي :



php_flag engine off


بعدها تقوم برفع ملف الـ .htaccess الى كل المجلدات ذات تصريح 777 .

وللتجربه قم برفع اي سكربت php للمجلدات ذات التصاريح 777 والتي تحتوي على الـ htaccess وقم بالدخول على هذا السكربت وشاهد النتيجه .
سوف تجد أن السكربت لم يقم الخادم بتنفيذه

ملف .htaccess مرفق

جينان
0 07th December 2005, 10:0:04 PM
السلام عليكم ورحمة الله وبركاته



مشكور اخي على المعلومات القيمه


جزاك الله خيرا

المحارب10
0 08th December 2005, 07:0:35 AM
مشكور أخو ي تسلم على هذه المعلومة القيمة

ربي يعطيك العافية ويبارك فيك

أعذب المنى

عيون المها
0 15th January 2006, 03:0:13 PM
السلام عليكم
معلومات مهمة اخي
جزاك الله كل خير

الـ ـحـ الـ ـولـ ـهـ ـان ـ ـاير
0 03rd May 2006, 07:0:44 AM
السلام عليكم ورحمة الله وبركاته

أخــــــ ولد مكة ــــــــي


شكراً لك على هالنصائح


والله يعطيك العافيه

لك مني

ارق التحيا واصدق الامنيات

الـــــوردة
0 11th May 2006, 02:0:17 PM
السلام عليكم ورحمة الله وبركاته


شكرا اخي على المعلومات وان شاء الله تنفع المختصين



تحيتي الطيبة