b523db2bbea7098aeccea0f78f41f223
     
     
     
    
    
    
    
    
    
    
 
تقنية و أشياء أخرى
تقنية و أشياء أخرى
مختلف المقالات و النقاشات و الروابط المتعلقة بالتقنية او المواضيع العامة
لأول مرّة ، مجمَّع الثغرات البرمجية ، اسألني و أجيبك !
                         عربي     English

لأول مرّة ، مجمَّع الثغرات البرمجية ، اسألني و أجيبك !
   محمد جمال الذياب        07-02-2020  
   abdelh4di - ᴹᴿ Abdelhadi   
السلام عليكم ورحمة الله ،، أهلا بكم :
اكثر من نصف الاعضاء هنا مبرمجين و مطوري ويب و لله الحمد عندي باع طويل مع الثغرات البرمجية خصوصا لغة PHP
و الكثير يبرمج مواقع و يستهين بالحماية
لذلك أهم طريقة لتبادل المعارف والمعلومات هي الحوار والنقاش الجد
والفعال فبه يرقى التفكير وتتزايد المعارف .
لذلك أنا جاهز لأسئلتكم جميعا في جميع أنواع ثغرات لغة PHP ابتداءا من اكتشافها الى ترقيعها باذن الله
التعليقات
   TALAAT - كيان 525   
مساهمتك رائعه وهادفه ولكن تنويه فحسب هذا ليس المجتمع المناسب :)
 
المجتمع العام والذي يمكنك أن تطرح فيه النقاشات التي تقع خارج تخصص المجتمعات الأخرى.

https://io.hsoub.com/webdev
https://io.hsoub.com/programming
https://io.hsoub.com/Security
https://io.hsoub.com/php
   alibenmussa - Close Account   
هل يمكن أتشرح لمبتدئ (مثلي أنا) ما هو الحقن ؟
فيما يستخدم ؟ هل جميع اللغات يمكن فيها الحقن (javascript و php تحديدا) ؟
   مبرمج بسيط - بدون بدون   
الحقن يعني إمكانية القيام بالعمليات ، كالعمليات على القاعدة (إضافة ، رؤية، حذف تعهديل...) أو ملفات (رفع، حذف...)
وهي في لغات السيرفر فقط حتى لو استطعت الحقن JS فكيف ستستفيد منه؟؟
   abdelh4di - ᴹᴿ Abdelhadi   
حقن كود JS استفيد منه في تحويل موقع الى رابط معين مثلا
   مبرمج بسيط - بدون بدون   
أجل ، فعلا ، ربما صفحة مزورة ، او...
   sami-abdo   
نبدأ بأبسطها :
-ما هي ثغرة xss ؟
-و كيف يمكن للمخترق الاستفادة منها ؟
-و كيف يمكن ترقيعها ؟
   abdelh4di - ᴹᴿ Abdelhadi   
ثغرة xss ببساطة تتحيك لك تحقن أكواد javascript فيها انواع منها DOM Based و Reflected
تستطيع عمل أي شئ ابتداءا من رفع ملف ضار الى التحكم بالموقع بالنسبة لسرقة كوكيز اصبحت قديمة
اختراق اجهزة الاخرين و طورتها انا و صديقي لاكثر من ذلك
الترقيع تغلق جميع مدخلات التي يمكن للزائر حقنها و استبدال الكواد معينة الى مسافات او اغلاقها
راجع الرابط التالي اذا موجود شئ غامض اسألني :
http://stackoverflow.com/questions/1336776/xss-filtering-function-in-php
   supercoder - يوسف سيد   
 
اختراق اجهزة الاخرين

كيف ستفعل ذلك ؟ ستحتاج إلى ثغرة في المتصفح إن كان يمكن ذلك كان يمكن لاي موقع إختراقك.
   abdelh4di - ᴹᴿ Abdelhadi   
نعم هناك طريقة المتصفح و هناك أخرى عن طريق اعطاء أوامر معينة تتم بالتحكم بالـ extensions
أخبرتك اياها الان D: ابدأ بذلك
   supercoder - يوسف سيد   
كلما أجرب شيء أجد كروم يغلق الباب امامي :(
هناك أمل في الطرق إن كان الزائر لايعلم الكثير مثلًا تحميل ملف تنفيذي معرفة البريد بعض عمليات ajax الخفية إن كان هناك سماح بذلك , معرفة الip ........
لكن طريقة بدون ذلك صعب.
   abdelh4di - ᴹᴿ Abdelhadi   
سيتحول الموضوع للاخترقات اترك ذلك مرة أخرى
بالتوفيق
   sami-abdo   
أخي لا يمكنني الاستفادة من تعلم ترقيع شئ ما لم أعرف عيوبه و كيفية أختراقه .
هذا العلم بالذات (أعني الحماية) هو وجهان لعملة واحدة الامن و الاختراق ، لذلك لا يمكن تعلم أحدهما دون الاخر و إلا من يفعل ذلك سيكون ك (الاعمى الذي يقطع الطريق السريع)
   sami-abdo   
ما الذي تعنيه بهذا ؟ يرجى التفصيل
 
ثغرة xss ببساطة تتحيك لك تحقن أكواد javascript فيها انواع منها DOM Based و Reflected
   abdelh4di - ᴹᴿ Abdelhadi   
ببساطة شاهد هذا الفيديو :) ستفهم ذلك
https://www.youtube.com/watch?v=fDshVVyJWzw
   ahmadmarafa - أحمد عرفة   
قرأت قبل فترة , ان افضل طريقة للحماية برمجياتك , هي التحقق الكامل من المدخلات , سواء كانت GET , POST , او حتي الكوكيز , مارئيك في الجملة , وماهي افضل طريقة لحماية CSRF
   sami-abdo   
عبر إستخدام نص مشفر و فريد من نوعه في كل رأس لطلب من التطبيق خاصتك و يسمى هذا النص بـ token
   abdelh4di - ᴹᴿ Abdelhadi   
نعم التحقق ، لكن استخدام بعض الدوال تتغير الامور ما رأيك في ثغرة ebay التي كانت بين متغيرين list[]?=cc
احسن حل للـ CSRF انت تعمل كود أو أكسس توكن معين + Session
الكود المشفر للتمويه فقط و ليس دائما ينجح بل شركات كبيرة اصيبت مع تشفيرها للبيانات المدخلة و المخرجة
   ahmad777   
ما هي ثغرة heart bleed وكيف يتم حمايتها ؟
   abdelh4di - ᴹᴿ Abdelhadi   
ثغرة heartbleed ثغرة داخل نظام السيرفر في مكتبة openssl
اللي فيها ان استغلالها يختلف عن ثغرات web application المباشرة و الاخرى تستغلها عن طريق اوامر ببورت معين
   abdelh4di - ᴹᴿ Abdelhadi   
مرات السكربتات تكون مربوطة بالسيرفر كلوحة cpanel مثلا تعطي أوامر كالـ cron و غيرها عن طريق دوال معينة
تسمى Command Execution تستطيع استغلالها و الصول احيانا الى الرووت root بصلاحيات معينة
   walid123 - Walid Laggoune   
كيف يمكن الحماية من ثغرة رفع الشيل..اقصد حماية قصوى ليس فقط التاكد من امتداد الملف
   abdelh4di - ᴹᴿ Abdelhadi   
رفع الشيل ليس متعلق بمركز تحميل فقط يا أخي وليد هذا ما يعتقده المبرمجون !
لو اخبرك أني استطيع رفع شيل عن طريق ثغرة xss أو SQLi ؟
احسن حماية :
تأكد من الامتدادات و ليس امتداد الاسم فقط يستطيع أن يغير ذلك مثلا بـ : shell.jpg.php فستنخدع من الاسم مباشرة و هذا خطأ فادح
منع خاصية نول بايت nullByte
تأكد من بعض الكلمات المعينة امنع حتى ملف هتاكسس فقد أصبح شيلا :)
تشفير اسم الملف لضمان عدم التغيير و ايجاد المسار
   walid123 - Walid Laggoune   
شكرا جزيلا لك
   shekaz - Ysn Ysn   
ماهي اخطر ثغرة و جدتها؟
درجة الخطورة حسب حساسية و سمعة الموقع اللذي وجدتها فيه
   abdelh4di - ᴹᴿ Abdelhadi   
ممم وجدت الكثير لا اريد عن اخرج عن نطاق الموضوع
هناك ثغرة في فيسبوك تعمل للان
ثغرات عديدة منها في سكربت \" المكتبة الاسلامية \" تم التواصل مع صاحبها لترقيعها و لله الحمد
عندي ثغرة في سكربت Vb , Joomla في اضافات معينة
العديد .. منها المنشور في النت
   shekaz - Ysn Ysn   
ممكن إستفسار.. مثلا لدينا مدونة بلوغر و هذا رابطها:
example.blogspot.com/#param=param1
و عند إستبدال كلمة param1 بـ كود جافاسكريبت يشتغل الكود.
هل يمكن إعتبار هذه تغرة XSS ام لا؟ و فيماذا يمكن ان تستغل من غير توجيه الموقع إلى صفحة أخرى او وضع iframe داخل الصفحة
   abdelh4di - ᴹᴿ Abdelhadi   
نعم بالطبع ،،
تستغل في الكثير من الاشياء لقد ذكرتها سابقا قد يستطيع حتى اختراق جهازك و ذلك قليل من يعرفه و يعتمد كثيرا بمستوى المخترق .
   shekaz - Ysn Ysn   
سبق و وجدت مثل هذه الثغرة في مدونة أمين رغيب (مدونة المحترف) لكن عندما راسلته بها قال بالحرف \"thank you but there\'s no security impact .\" و رغم ذلك رقعها :)
مؤخرا وجدت تغرة XSS بموقع eToro و قمت بإبلاغهم عنها و تم ترقيعها لكنني لم أتلقى ولا كلمة شكر على ذلك.
لازلت أحتفظ بفيديوهات لجميع الثغرات
لكي نرجع إلى الموضوع الأصلي، أنا شخصيا تعلمت الأوليات في هذا المجال أي مجال حماية البرمجيات عن طريق دورة Video2Brain La sécurité des applications . أضن أنها كانت غنية بالأساسيات. و صراحة إستفدت منها و إكتشفت العديد من الثغرات و طرق الحماية منها.
كم كنت غبي صراحة في بداية مشواري في البرمجة كنت أعرف أن برمجياتي غير آمنة بالمرة و كنت غير مبالي. لكن عندما تم إختراق أحد المواقع التي كنت قد برمجتها في ذلك الوقت أحسست أنه تم المس بشرفي هههه فقط من سبق و تم إختراقهم سيعرفون ذلك الإحساس. و من ذلك الوقت أصبحت أركز كثيرا على حماية أي برنامج او سكريبت.
   abdelh4di - ᴹᴿ Abdelhadi   
رائع ، لا يلدغ المؤمن من الجحر مرتين :)
   shekaz - Ysn Ysn   
اريد فقط ان أضيف جديد بخصوص الثغرة التي قلت لك انني وجدتها في eToro
لقد راسلوني هذا اليوم و شكروني و قدمو لي 100$
   syf - Syf Sayed   
ما هي أفضل المصادر لتعلم الحماية والإختراق ويا حبذا لو كانت بالعربية.
ولماذا هنا أجد الكثير مع احترامي للجميع في كثير من المواضيع يقول أنه يستطيع الإختراق؟!
هل فعلاً الإختراق سهل سواء أكان اختراق الأجهزة أو المواقع؟
   abdelh4di - ᴹᴿ Abdelhadi   
لا يوجد مصدر عربي حقيقي لتعلم الاختراق او الحماية بصراحة
انا تعلمت من مواقع متفرقة و خصوصا الاجنبية لكن ابدا لم اتعلم من موقع عربي كل شئ
المخترق لا يقاس باخترقاته بل باكتشافاته كثغرات مثلا او ضعف امني
   syf - Syf Sayed   
ما هي المصادر المقترحة الأجنبية من البداية حتى الإحتراف؟!
   alimohsenq - gdfgdfg gdfghtr   
كيف يمكن اكتشاف ثغرات المواقع
   Lareen   
https://io.hsoub.com/Security/25638-%D8%A7%D9%84%D8%B3%D9%84%D8%A7%D9%85-%D8%B9%D9%84%D9%8A%D9%83%D9%85-%D8%A7%D8%B1%D9%8A%D8%AF-%D8%A7%D9%86-%D8%A7%D8%B3%D8%AA%D9%81%D8%B3%D8%B1-%D8%A7%D9%86-%D8%A7%D9%86%D8%A7-%D8%A7%D8%AC%D9%84%D8%B3-%D8%B9%D9%84%D9%89-%D8%A7%D9%84%D8%A7%D9%86%D8%AA%D8%B1%D9%86%D8%AA-%D9%88%D9%84%D8%B3%D8%AA-%D9%85%D8%A7%D9%84%D9%83%D9%87-%D9%88%D9%85%D8%A7%D9%84%D9%83-%D8%A7%D9%84%D8%B1%D8%A7%D9%88%D8%AA%D8%B1-%D9%8A%D8%B3%D8%AA%D8%B7%D9%8A%D8%B9-%D8%A7%D9%84%D8%AF%D8%AE%D9%88%D9%84-%D8%B9%D9%84%D9%89-%D8%A7%D9%84%D8%B1%D8%A7%D9%88%D8%AA%D8%B1-%D9%88%D9%85%D8%B9%D8%B1%D9%81%D8%A9-%D8%A7%D9%84%D8%A3%D8%AC%D9%87%D8%B2%D8%A9-%D8%A7%D9%84%D9%85%D8%AA%D8%B5%D9%84%D8%A9-%D8%A7%D9%84%D8%B3%D8%A4%D8%A7%D9%84-%D9%87%D9%88-%D9%84%D9%88-%D8%A7%D9%86%D8%A7-%D9%82%D9%85%D8%AA-%D8%A8%D8%A7%D9%8A%D9%82%D8%A7%D9%81-%D8%A7%D9%84%D8%A7%D8%AA%D8%B5%D8%A7%D9%84-%D8%A8%D8%A7%D9%84%D8%A5%D9%86%D8%AA%D8%B1%D9%86%D8%AA-%D8%AF%D9%88%D9%86-%D8%A7%D9%86-%D8%A7%D9%84%D8%BA%D9%8A-%D8%A7%D8%AA%D8%B5%D8%A7%D9%84%D9%87-%D8%A8%D8%A7%D9%84%D8%AC%D9%87%D8%A7%D8%B2-%D8%A7%D8%B9%D9%86%D9%8A-%D9%84%D9%88-%D9%81%D9%82%D8%B7-%D8%A7%D9%82%D9%81%D8%AA-%D8%A7%D9%84%D9%88%D8%A7%D9%8A-%D9%81%D8%A3%D9%8A-%D9%81%D9%82%D8%B7-%D8%B9%D9%86-%D8%AC%D9%87%D8%A7%D8%B2%D9%8A-%D9%87%D9%84-%D9%8A%D8%B8%D9%87%D8%B1-%D9%84%D9%87-%D8%A7%D8%B3%D9%85-%D8%AC%D9%87%D8%A7%D8%B2%D9%8A-%D9%85%D8%AA%D8%B5%D9%84
   yara4kth   
السلام عليكم , هل ممكن تساعدني في لغة ال c#
   ahmeedsalam   
هل توجد ثغرة لتهكير الفيسبوك
  الموضوع و التعليقات و باقي البيانات في هذه الصفحة منقولة و معدلة من المصدر على الرابط التالي : https://io.hsoub.com/Security/24459
  هذا الموضوع مرخص تحت : رخصة المشاع الإبداعي BY-SA
المشاركة :
تويتر
فيسبوك
الإيميل
لينكد إن
واتساب
الرابط

السماح بتعديل الموضوع وخصوصاً العنوان كما في التعليقات السماح بتعديل الموضوع وخصوصاً العنوان كما في التعليقات
ماذا ستفعل إن استيقظت يوما ووجدت انك الشخص الوحيد المتبقي في العالم ! ماذا ستفعل إن استيقظت يوما ووجدت انك الشخص الوحيد المتبقي في العالم !
لماذا لا يمكننا كتابة مقال طويل في مواضيع حسوب ،؟ لماذا لا يمكننا كتابة مقال طويل في مواضيع حسوب ،؟
لماذا نحب الموسيقا لماذا نحب الموسيقا
لماذا الهبوط الأخلاقي في بعض البلدان العربية ؟! لماذا الهبوط الأخلاقي في بعض البلدان العربية ؟!
رأيك: كم تكون قيمة هذا البرنامج؟ (سجلات المكتبات العامة والمدرسية) رأيك: كم تكون قيمة هذا البرنامج؟ (سجلات المكتبات العامة والمدرسية)
موزيلا تتخلى عن فكرة الإعلانات في الألسنة الجديدة موزيلا تتخلى عن فكرة الإعلانات في الألسنة الجديدة

gg gg
مراجعات - تقييمات - فديوها - مقالات و مختلف المواضيع التي تهم اللاعبين العرب
http://gg.leomara.com/
الروابط المختصرة    سياسة الخصوصية    شروط الإستخدام    من أنا    من نحن    الأسئلة الشائعة    موضوع عشوائي    اتصل بنا   
                           
Developed by : MJ7.org