معهد دعم اتش فى اى بى اس لحلول الويب - Powered by vBulletin


 
 
النتائج 1 إلى 1 من 1

الموضوع: إغلااق ثغرات مراكز الرفع ,,, باسهل طريقه

  1. #1
    أدارى
    الصورة الرمزية HVIPS4


    تاريخ التسجيل: Jun 2011
    رقم العضوية: 6
    الدولة: Cairo
    المشاركات: 1,979
    HVIPS4 غير متواجد حالياً

    إغلااق ثغرات مراكز الرفع ,,, باسهل طريقه


    السلام عليكم ورحمة الله وبركاته


    مراكز رفع الصور ,, توجد فيها ثغرات , وهذه الثغرات اما تكون في سكربت الرفع ( سوء برمجه )
    او تكون هذه الثغرات ,, بسبب اعدادات الموقع ( غير صحيحه او ليست مفعله )

    قبل البدء ,, ماهي هذه الثغرات نقره لتكبير أو تصغير الصورة ونقرتين لعرض الصورة في صفحة مستقلة بحجمها الطبيعي
    يستخدم الهاكرز ,, سكربت من نوع php. ويسمى بـ الشيل ويرفعه على مراكز الرفع وبعدها يقوم بتشغيله
    ويستولي على موقعك كله نقره لتكبير أو تصغير الصورة ونقرتين لعرض الصورة في صفحة مستقلة بحجمها الطبيعي مو المنتدى بس نقره لتكبير أو تصغير الصورة ونقرتين لعرض الصورة في صفحة مستقلة بحجمها الطبيعي

    ومن المعروف في جميع مراكز الرفع بان الملفات من نوع php. غير مسموح لها بالرفع
    لكن الهاكرز ,, يقوم بتغيير إمتداد سكربت الشيل من php. الى php.rar. ويرفعه على مركز الرفع

    واذا تم الرفع لسكربت الشيل php.rar. تكون فيه ثغره >>> في سكربت الرفع ( سوء برمجه )
    لأنه لم يفرق بين انواع الملفات + الملف يحتوي على أكثر من امتداد
    (((( حتى يمنع رفع الملف ))))

    واذا انتهى الهاكرز من رفع ملف الشيل ,, واشتغل السكربت على الموقع ,, كما بهذا المثال
    http://www.zyzoom.net/up_exploit/1/test.php.rar

    تكون فيه ثغرة >>> بسبب اعدادات الموقع ( غير صحيحه او ليست مفعله )
    لأنه لم يحدد نوع الامتداد rar

    الحل لهذه الثغرات ,,
    اسهل حل ,, هو عدم السماح للهاكرز بتشغيل الشيل ( ان كان اي نوع ,, او بأي امتداد )

    ان كان اي نوع
    هذه الانواع ,, والتي يعمل بها سكربتات الشيل

    كود PHP:
                             htmhtmlshtmlshtmstmaspaspxmasterdwthttinchtahtcjspcfmphtmlphpphp2php3php4ascxasmxjsvbscssxmldtdxsdxslxsltphp2php1impxdllajxaajxcopywgetpopmailemailphp3phtmlplcgihtmlhtmaspaspxpyjspshtmlshpifexecombatcmd
    او بأي امتداد
    مثلاا /

    كود PHP:
    php.txt او php.rar او php.gif او حتى php.111 
    والمنع يكون باستخدام ,,, ملف htaccess
    وعند تشغيل سكربت الشيل لن يعمل ,,, كما بهذا المثال

    http://www.zyzoom.net/up_exploit/3/test.php.rar

    ومع استخدام ملف htaccess لن يمنع من تحميل الملفات المسموح لها بالرفع أصلااا
    كملفات rar او zip او txt او اي ملفات الصور

    كما بهذا المثال

    http://www.zyzoom.net/up_exploit/3/test.rar

    الزبده من السابق كله والفلفسه نقره لتكبير أو تصغير الصورة ونقرتين لعرض الصورة في صفحة مستقلة بحجمها الطبيعي هو هذا الملف zyzoom_htaccess.zip

    او في المرفقات
    فك الملف المضغوط ,, واستخرج الملف .htaccess وارفعه على مجلد الرفع بموقعك
    الملفات المرفقة

 

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •