المزاج
بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته
الموضوع عن أخطر أنواع الثغرات وشرح لكل نوع حسب الخطورة.
بسم الله نبدأ/
ما هي الثغرات ؟
الثغره هي عبارة عن خطأ برمجي يمكننا استغلاله في أن نجعل النظام يقوم بتنفيذ أوامرنا التي نعطيها إليه.
الثغرات كثيرة لاتعد ولاتحصى في أنواع كثيرة من الأنظمة
وسأتطرق لثلاث أنواع أساسية في نظام php
1- File Include (إدراج ملف)
2- Sql Injection (تنفيذ أوامر في قاعدة البيانات)
3- XSS (تستخدم لسرقة الكوكيز سواء للمنتدى أو لسكريبت أو لأي برنامج)
هنا يهمنا ثغرات المنتديات ولن نتطرق لأي سكربت آخر.
النوع الأول: ثغرة File Include /
هو أخطر أنواع الثغرات ويسري عبر أخطاء برمجية مما يجعل الهكر
يقوم بإدراج ملف she ll خطير يمكنه من التلاعب بالموقع واختراقه.
النوع الثاني: ثغرة Sql Injection /
وهذا أقل خطورة من الفايل انكلود ويقوم عبر أخطاء برمجية بإرسال أوامر إلى قاعدة البيانات
مثلاً أمر لقراءة معلومات عضوية الأدمن رقم واحد أو أمر لتغيير كلمة مروره .
النوع الثالث:XSS /
يعتبر أقل خطورة من النوع الأول والثاني وأكيد الكل سمع بهذا النوع من الثغرات،
وهذي الثغرات من خلالها نقدر نسحب كوكيز أي عضو بالموقع مثل الهوتميل لكن تعتبر أقل خطورة
في استغلالها . وأقرب مثال ثغرات الـ xss في موقع الهوتميل
وبالإمكان أيضاً ندخل من خلالها مثلاً بعضوية المدير العام كمثال في المنتدى بس هنا خطورتها ضعيفه لأننا لو دخلنا ما نعرف الباس ........ملاحطه:هناك البعض من الاخوه لا يعرف ما هو الكوكيز:ضع معظم مواقع الويب، عندما يتم زياراتها ملفاً صغيراً على القرص الصلب الخاص بجهاز الزائر (المتصفح)، هذا الملف يسمى "كوكي" (Cookie)، وملفات الكوكيز هي عبارة عن ملفات نصية، اذ أنها ليست برامج أو شفرات برمجية ويهدف هذا الكوكي إلى جمع بعض المعلومات عنك، وهو مفيد أحياناً، خاصة إذا كان الموقع يتطلب منك إدخال كلمة مرور تخولك بزيارته. ففي هذه الحالة لن تضطر في كل زيارة لإدخال تلك الكلمة، إذ سيتمكن الموقع من اكتشافها بنفسه عن طريق "الكوكي"، الذي تم وضعه على القرص الصلب في الجهاز وذلك من اول زيارة بمعنى أخر تحتوي هذه الملفات النصية (الكوكيز) على معلومات تتيح للموقع الذي أودعها أن يسترجعها عند الحاجة، أي عند زيارتكم المقبلة للموقع.
السلام عليكم ورحمة الله وبركاته
الموضوع عن أخطر أنواع الثغرات وشرح لكل نوع حسب الخطورة.
بسم الله نبدأ/
ما هي الثغرات ؟
الثغره هي عبارة عن خطأ برمجي يمكننا استغلاله في أن نجعل النظام يقوم بتنفيذ أوامرنا التي نعطيها إليه.
الثغرات كثيرة لاتعد ولاتحصى في أنواع كثيرة من الأنظمة
وسأتطرق لثلاث أنواع أساسية في نظام php
1- File Include (إدراج ملف)
2- Sql Injection (تنفيذ أوامر في قاعدة البيانات)
3- XSS (تستخدم لسرقة الكوكيز سواء للمنتدى أو لسكريبت أو لأي برنامج)
هنا يهمنا ثغرات المنتديات ولن نتطرق لأي سكربت آخر.
النوع الأول: ثغرة File Include /
هو أخطر أنواع الثغرات ويسري عبر أخطاء برمجية مما يجعل الهكر
يقوم بإدراج ملف she ll خطير يمكنه من التلاعب بالموقع واختراقه.
النوع الثاني: ثغرة Sql Injection /
وهذا أقل خطورة من الفايل انكلود ويقوم عبر أخطاء برمجية بإرسال أوامر إلى قاعدة البيانات
مثلاً أمر لقراءة معلومات عضوية الأدمن رقم واحد أو أمر لتغيير كلمة مروره .
النوع الثالث:XSS /
يعتبر أقل خطورة من النوع الأول والثاني وأكيد الكل سمع بهذا النوع من الثغرات،
وهذي الثغرات من خلالها نقدر نسحب كوكيز أي عضو بالموقع مثل الهوتميل لكن تعتبر أقل خطورة
في استغلالها . وأقرب مثال ثغرات الـ xss في موقع الهوتميل
وبالإمكان أيضاً ندخل من خلالها مثلاً بعضوية المدير العام كمثال في المنتدى بس هنا خطورتها ضعيفه لأننا لو دخلنا ما نعرف الباس ........ملاحطه:هناك البعض من الاخوه لا يعرف ما هو الكوكيز:ضع معظم مواقع الويب، عندما يتم زياراتها ملفاً صغيراً على القرص الصلب الخاص بجهاز الزائر (المتصفح)، هذا الملف يسمى "كوكي" (Cookie)، وملفات الكوكيز هي عبارة عن ملفات نصية، اذ أنها ليست برامج أو شفرات برمجية ويهدف هذا الكوكي إلى جمع بعض المعلومات عنك، وهو مفيد أحياناً، خاصة إذا كان الموقع يتطلب منك إدخال كلمة مرور تخولك بزيارته. ففي هذه الحالة لن تضطر في كل زيارة لإدخال تلك الكلمة، إذ سيتمكن الموقع من اكتشافها بنفسه عن طريق "الكوكي"، الذي تم وضعه على القرص الصلب في الجهاز وذلك من اول زيارة بمعنى أخر تحتوي هذه الملفات النصية (الكوكيز) على معلومات تتيح للموقع الذي أودعها أن يسترجعها عند الحاجة، أي عند زيارتكم المقبلة للموقع.
