[ حماية ] تغير متغيرات معلومات قاعدة البيانات في الـvb
شركة اوريجينال :: تطوير منتديات الفي بي VB :: تطوير منتديات الفي بي VB :: رڪن دروس وشروحـ ال في بي ـات
صفحة 1 من اصل 1
[ حماية ] تغير متغيرات معلومات قاعدة البيانات في الـvb
السلام عليكم و رحمة الله و بركاته
اما بعد
اليوم اقدم لكم خلاصة دراسة تحليلية قمت بها من الناحية البرمجية
- ما المقصود بالناحية البرمجية ؟
الجواب :
صار من المعلوم ان سبب اختراق قالب الفورم هوم هو حقن قاعدة البيانات بمحتوى تخريبي
- جيد - رغم انه مشفر ملفات و ما الى ذالك - و التشفير في هذه الحالة لا توجد له فعالية بشكل مطلق -
كيف تم الحقن اذا ؟
جواب بشكل مبسط :
تم ذالك عن طريق معرفة معلومات قاعدة البيانات - اسم القاعدة + اسم
مستخدمها + كلمة المرور الخاصة بها - و هذه المعلومات موجودة في ملف كونفيج
- config.php - المنتدى
طيب الكل يقول كيف ذالك بالرغم من ان تصريح الملف هو 644 و هذا يعني لا امكانية للاطلاع عن محتوياته + ممكن يكون مشفر بزيادة
مهلا مهلا .... تم قراءة ملف config.php عن طريق ملف ثاني يتصل به مباشرة و هذا الاخير هو العمود الفقري للمنتدى بعد config.php
الآن كيف تم ذالك ؟
الجواب : هنا يأتي الجواب على شاكلة اجابة برمجية ..
لتبسيط الامور عليكم - تكتب معلومات القاعدة في ملف config.php كمتغير ليتم التعامل معه في php
و هذا المتغير بحكم ان php مفتوحة المصدر هو مكشوف و معلوم للجميع و بالتحديد هذه هي المتغيرات المقصودة بموضوعنا :
كود PHP:
// المتغير الاول هو لكتابة اسم قاعدة بيانات المنتدى
$config['Database']['dbnamer'] = 'اسم القاعدة';
// المتغير الثاني هو المخصص لكتابة اسم مستخدم قاعدة بيانات المنتدى
$config['MasterServer']['username'] = 'اسم المستخدم';
// المتغير الثالث هو المخصص لكتابة كلمة مرور قاعدة المنتدى
$config['MasterServer']['password'] = 'كلمة المرور';
الآن عرفنا لب القصيد
محور عملنا الآن هو تغيير او بالاصح اخفاء المتغيرات التي تحمل معلومات قاعدة بيانات المنتدى
يعني نحولها من متغير معلوم الى متغير مجهول عن انظار الآخرين
-- لا تترك محفظتك ظاهرة للعيان و تشتكي من السرقة --
الآن راح نسمي باسم الله و نبدأ العمل على سد الباب امام اطفال النت - الهكرز - المخترقون -
خطة العمل : تعديل برمجي
متطلبات العمل : معرفة بسيطة في البرمجة او التعديل + برنامج لتحرير ملفات php - موجودة في قسم البرمجة -
شعار العمل : التوكل على الله
مواد العمل : اقصد بها الملفات التي سيتم التعديل عليها هي : config.php و init.php
التعديل : في الاول احب ان انوه و اذكر اني لا اتحمل اي مسؤولية جراء هذا العمل بالرغم اني مجربه من قبل و ناجح بنسبة 100/100 و الحامي هو الله طبعا
نصيحة : اشدد و انصح باخذ نسخة احتياطية للمفات المذكورة . و ان يكون التعديل في المرحلة الاولية على منتدى تجريبي
نبدأ :
1 - افتح الملف init.php و ابحث عن التالي
كود PHP:
$vbulletin->config['Database']['dbname'],
$vbulletin->config['MasterServer']['servername'],
$vbulletin->config['MasterServer']['port'],
$vbulletin->config['MasterServer']['username'],
$vbulletin->config['MasterServer']['password'],
راح نعدل السطر الاول و الرابع و الخامس فقط لانهم اهم شيئ في الموضوع
-- نعدل :
كود:
config['Database']['dbname'],
الى
كود:
config['Database']['souf'],
حيث كلمة souf مكان dbname مع التنبيه الى انه يجب تذكر الكلمة الاصلية لكي يتم تغييرها فيما بعد في الملف config.php كذالك مع الملاحظة اني وضعت souf كمثال و يمكن اختيار اي كلمة مكونة من حروف بدلها
و نعدل
كود:
config['MasterServer']['username'],
الى
كود:
config['MasterServer']['ghost'],
ينطبع عليه نفس الكلام السابق
و تعديل
كود:
config['MasterServer']['rtv'],
و كذالك مثل سابقه
و نحفظ العمل
نتوجه للملف الثاني - config.php - افتحه مثل الاول بمحرر php
كما نبهت في الاول اننا يجب تذكر الكلمات الاصلية و ما تم تغييرها بها
و في مثالنا :
تم تغيير كل من :
dbname بي كلمة souf
username بي كلمة ghost
password بي كلمة rtv
يعني لب الفكرة تغيير الكلمات - المتغيرات - التالية dbname و username و password بكلمات اخرى غير معلومة في كلى الملفين مع مراعات تطابقها
و بهذا راح تقل نسبة الاختراق بنسبة عالية جدا جدا و لا ادعي 100/100 فالكمال لله وحده
و لزيادة الفعالية هذه بعض النصائح :
1 - يجب اختيار كلمات معلومات قاعدة بيانات المنتدى او اي سكريبت آخر صعبة
التخمين و لا تكون متشابهة - اسم القاعدة لا يكون نفسه اسم المستخدم و
كلمة المرور - او له علاقة بمحتوى الموقع
2 - الابتعاد عن استعمال الترخيص 777 في اي منطقة من مناطق موقعك.
3 - التقليل من عدد الهاكات الغير لازمة
4 - التقليل من عدد الستيلات و تحري هويتها قبل اعتمادها و تركيبها
5 - تغيير اسم و مسار لوحة تحكم المدير العام للمتدى و حمايتها بجدار ناري
6 - تفحص موقعك بشكل دوري بحثا عن ملفات ضارة
هذا الموضوع اجتهاد شخصي لا اسألكم عنه الا الدعاء في ظهر قلب
و في الاخير اتمنى من المولى العزيز القدير اني وفقت
و لو بالقدر الضئيل في الحد من مشكلة اختراق المنتديات
-- و بالنسبة لحقوق الموضوع فهي محفوظة لكل مسلم --
و السلام آمان
اما بعد
اليوم اقدم لكم خلاصة دراسة تحليلية قمت بها من الناحية البرمجية
- ما المقصود بالناحية البرمجية ؟
الجواب :
صار من المعلوم ان سبب اختراق قالب الفورم هوم هو حقن قاعدة البيانات بمحتوى تخريبي
- جيد - رغم انه مشفر ملفات و ما الى ذالك - و التشفير في هذه الحالة لا توجد له فعالية بشكل مطلق -
كيف تم الحقن اذا ؟
جواب بشكل مبسط :
تم ذالك عن طريق معرفة معلومات قاعدة البيانات - اسم القاعدة + اسم
مستخدمها + كلمة المرور الخاصة بها - و هذه المعلومات موجودة في ملف كونفيج
- config.php - المنتدى
طيب الكل يقول كيف ذالك بالرغم من ان تصريح الملف هو 644 و هذا يعني لا امكانية للاطلاع عن محتوياته + ممكن يكون مشفر بزيادة
مهلا مهلا .... تم قراءة ملف config.php عن طريق ملف ثاني يتصل به مباشرة و هذا الاخير هو العمود الفقري للمنتدى بعد config.php
الآن كيف تم ذالك ؟
الجواب : هنا يأتي الجواب على شاكلة اجابة برمجية ..
لتبسيط الامور عليكم - تكتب معلومات القاعدة في ملف config.php كمتغير ليتم التعامل معه في php
و هذا المتغير بحكم ان php مفتوحة المصدر هو مكشوف و معلوم للجميع و بالتحديد هذه هي المتغيرات المقصودة بموضوعنا :
كود PHP:
// المتغير الاول هو لكتابة اسم قاعدة بيانات المنتدى
$config['Database']['dbnamer'] = 'اسم القاعدة';
// المتغير الثاني هو المخصص لكتابة اسم مستخدم قاعدة بيانات المنتدى
$config['MasterServer']['username'] = 'اسم المستخدم';
// المتغير الثالث هو المخصص لكتابة كلمة مرور قاعدة المنتدى
$config['MasterServer']['password'] = 'كلمة المرور';
الآن عرفنا لب القصيد
محور عملنا الآن هو تغيير او بالاصح اخفاء المتغيرات التي تحمل معلومات قاعدة بيانات المنتدى
يعني نحولها من متغير معلوم الى متغير مجهول عن انظار الآخرين
-- لا تترك محفظتك ظاهرة للعيان و تشتكي من السرقة --
الآن راح نسمي باسم الله و نبدأ العمل على سد الباب امام اطفال النت - الهكرز - المخترقون -
خطة العمل : تعديل برمجي
متطلبات العمل : معرفة بسيطة في البرمجة او التعديل + برنامج لتحرير ملفات php - موجودة في قسم البرمجة -
شعار العمل : التوكل على الله
مواد العمل : اقصد بها الملفات التي سيتم التعديل عليها هي : config.php و init.php
التعديل : في الاول احب ان انوه و اذكر اني لا اتحمل اي مسؤولية جراء هذا العمل بالرغم اني مجربه من قبل و ناجح بنسبة 100/100 و الحامي هو الله طبعا
نصيحة : اشدد و انصح باخذ نسخة احتياطية للمفات المذكورة . و ان يكون التعديل في المرحلة الاولية على منتدى تجريبي
نبدأ :
1 - افتح الملف init.php و ابحث عن التالي
كود PHP:
$vbulletin->config['Database']['dbname'],
$vbulletin->config['MasterServer']['servername'],
$vbulletin->config['MasterServer']['port'],
$vbulletin->config['MasterServer']['username'],
$vbulletin->config['MasterServer']['password'],
راح نعدل السطر الاول و الرابع و الخامس فقط لانهم اهم شيئ في الموضوع
-- نعدل :
كود:
config['Database']['dbname'],
الى
كود:
config['Database']['souf'],
حيث كلمة souf مكان dbname مع التنبيه الى انه يجب تذكر الكلمة الاصلية لكي يتم تغييرها فيما بعد في الملف config.php كذالك مع الملاحظة اني وضعت souf كمثال و يمكن اختيار اي كلمة مكونة من حروف بدلها
و نعدل
كود:
config['MasterServer']['username'],
الى
كود:
config['MasterServer']['ghost'],
ينطبع عليه نفس الكلام السابق
و تعديل
كود:
config['MasterServer']['rtv'],
و كذالك مثل سابقه
و نحفظ العمل
نتوجه للملف الثاني - config.php - افتحه مثل الاول بمحرر php
كما نبهت في الاول اننا يجب تذكر الكلمات الاصلية و ما تم تغييرها بها
و في مثالنا :
تم تغيير كل من :
dbname بي كلمة souf
username بي كلمة ghost
password بي كلمة rtv
يعني لب الفكرة تغيير الكلمات - المتغيرات - التالية dbname و username و password بكلمات اخرى غير معلومة في كلى الملفين مع مراعات تطابقها
و بهذا راح تقل نسبة الاختراق بنسبة عالية جدا جدا و لا ادعي 100/100 فالكمال لله وحده
و لزيادة الفعالية هذه بعض النصائح :
1 - يجب اختيار كلمات معلومات قاعدة بيانات المنتدى او اي سكريبت آخر صعبة
التخمين و لا تكون متشابهة - اسم القاعدة لا يكون نفسه اسم المستخدم و
كلمة المرور - او له علاقة بمحتوى الموقع
2 - الابتعاد عن استعمال الترخيص 777 في اي منطقة من مناطق موقعك.
3 - التقليل من عدد الهاكات الغير لازمة
4 - التقليل من عدد الستيلات و تحري هويتها قبل اعتمادها و تركيبها
5 - تغيير اسم و مسار لوحة تحكم المدير العام للمتدى و حمايتها بجدار ناري
6 - تفحص موقعك بشكل دوري بحثا عن ملفات ضارة
هذا الموضوع اجتهاد شخصي لا اسألكم عنه الا الدعاء في ظهر قلب
و في الاخير اتمنى من المولى العزيز القدير اني وفقت
و لو بالقدر الضئيل في الحد من مشكلة اختراق المنتديات
-- و بالنسبة لحقوق الموضوع فهي محفوظة لكل مسلم --
و السلام آمان
مواضيع مماثلة
» شرح نقل جميع صور المنتدى من قاعدة البيانات الى نظام الملفات لتكون قاعدة بياناتك خف الريشة
» شرح كيفية نقل مرفقات المنتدى من قاعدة البيانات الى نظام المفات
» صناعة قاعدة البيانات و الجداول
» تمرين على استخراج المعلومات من قاعدة البيانات 1
» تمرين على استخراج المعلومات من قاعدة البيانات 2
» شرح كيفية نقل مرفقات المنتدى من قاعدة البيانات الى نظام المفات
» صناعة قاعدة البيانات و الجداول
» تمرين على استخراج المعلومات من قاعدة البيانات 1
» تمرين على استخراج المعلومات من قاعدة البيانات 2
شركة اوريجينال :: تطوير منتديات الفي بي VB :: تطوير منتديات الفي بي VB :: رڪن دروس وشروحـ ال في بي ـات
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى