مارد السعودية
17-Aug-2007, 10:57 PM
السلام عليكم ورحمة الله وبركاته
مراكز رفع الصور ,, توجد فيها ثغرات , وهذه الثغرات اما تكون في سكربت الرفع ( سوء برمجه )
او تكون هذه الثغرات ,, بسبب اعدادات الموقع ( غير صحيحه او ليست مفعله )
قبل البدء ,, ماهي هذه الثغرات icon30
يستخدم الهاكرز ,, سكربت من نوع php. ويسمى بـ الشيل ويرفعه على مراكز الرفع وبعدها يقوم بتشغيله
ويستولي على موقعك كله No_1 مو المنتدى بس thumbdown
ومن المعروف في جميع مراكز الرفع بان الملفات من نوع php. غير مسموح لها بالرفع
لكن الهاكرز ,, يقوم بتغيير إمتداد سكربت الشيل من php. الى php.rar. ويرفعه على مركز الرفع
واذا تم الرفع لسكربت الشيل php.rar. تكون فيه ثغره >>> في سكربت الرفع ( سوء برمجه )
لأنه لم يفرق بين انواع الملفات + الملف يحتوي على أكثر من امتداد
(((( حتى يمنع رفع الملف ))))
واذا انتهى الهاكرز من رفع ملف الشيل ,, واشتغل السكربت على الموقع ,, كما بهذا المثال
http://www.zyzoom.net/up_exploit/1/test.php.rar (http://www.zyzoom.net/up_exploit/1/test.php.rar)
http://www.zyzoom.net/up_exploit/0000.png
تكون فيه ثغرة >>> بسبب اعدادات الموقع ( غير صحيحه او ليست مفعله )
لأنه لم يحدد نوع الامتداد rar
\\\\\\\\\\\\\\\\\\\\\\\\\
الحل لهذه الثغرات ,,
اسهل حل ,, هو عدم السماح للهاكرز بتشغيل الشيل ( ان كان اي نوع ,, او بأي امتداد )
ان كان اي نوع
هذه الانواع ,, والتي يعمل بها سكربتات الشيل
htm. html. shtml. shtm. stm. asp. aspx. master. dwt. htt. inc. hta. htc. jsp. cfm. phtml. php. php2. php3. php4. ascx. asmx. js. vbs. css. xml. dtd. xsd. xsl. xslt. php2. php1. impx. dll. ajx. aajx. copy. wget. pop. mail. email. php3. phtml. pl. cgi. html. htm. asp. aspx. py. jsp. shtml. sh. pif. exe. com. bat. cmd.
او بأي امتداد
مثلاا /
php.txt او php.rar او php.gif او حتى php.111
والمنع يكون باستخدام ,,, ملف htaccess
وعند تشغيل سكربت الشيل لن يعمل ,,, كما بهذا المثال
http://www.zyzoom.net/up_exploit/3/test.php.rar (http://www.zyzoom.net/up_exploit/3/test.php.rar)
http://www.zyzoom.net/up_exploit/0001.png
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
ومع استخدام ملف htaccess لن يمنع من تحميل الملفات المسموح لها بالرفع أصلااا
كملفات rar او zip او txt او اي ملفات الصور
كما بهذا المثال
http://www.zyzoom.net/up_exploit/3/test.rar (http://www.zyzoom.net/up_exploit/3/test.rar)
http://www.zyzoom.net/up_exploit/0002.png
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \\
الزبده من السابق كله والفلفسه blushing هو هذا الملف zyzoom_htaccess.zip
رابط التحميل ,,,
http://www.zshare.net/download/2696257c404dca (http://www.zshare.net/download/2696257c404dca)
او في المرفقات
فك الملف المضغوط ,, واستخرج الملف .htaccess وارفعه على مجلد الرفع بموقعك
مراكز رفع الصور ,, توجد فيها ثغرات , وهذه الثغرات اما تكون في سكربت الرفع ( سوء برمجه )
او تكون هذه الثغرات ,, بسبب اعدادات الموقع ( غير صحيحه او ليست مفعله )
قبل البدء ,, ماهي هذه الثغرات icon30
يستخدم الهاكرز ,, سكربت من نوع php. ويسمى بـ الشيل ويرفعه على مراكز الرفع وبعدها يقوم بتشغيله
ويستولي على موقعك كله No_1 مو المنتدى بس thumbdown
ومن المعروف في جميع مراكز الرفع بان الملفات من نوع php. غير مسموح لها بالرفع
لكن الهاكرز ,, يقوم بتغيير إمتداد سكربت الشيل من php. الى php.rar. ويرفعه على مركز الرفع
واذا تم الرفع لسكربت الشيل php.rar. تكون فيه ثغره >>> في سكربت الرفع ( سوء برمجه )
لأنه لم يفرق بين انواع الملفات + الملف يحتوي على أكثر من امتداد
(((( حتى يمنع رفع الملف ))))
واذا انتهى الهاكرز من رفع ملف الشيل ,, واشتغل السكربت على الموقع ,, كما بهذا المثال
http://www.zyzoom.net/up_exploit/1/test.php.rar (http://www.zyzoom.net/up_exploit/1/test.php.rar)
http://www.zyzoom.net/up_exploit/0000.png
تكون فيه ثغرة >>> بسبب اعدادات الموقع ( غير صحيحه او ليست مفعله )
لأنه لم يحدد نوع الامتداد rar
\\\\\\\\\\\\\\\\\\\\\\\\\
الحل لهذه الثغرات ,,
اسهل حل ,, هو عدم السماح للهاكرز بتشغيل الشيل ( ان كان اي نوع ,, او بأي امتداد )
ان كان اي نوع
هذه الانواع ,, والتي يعمل بها سكربتات الشيل
htm. html. shtml. shtm. stm. asp. aspx. master. dwt. htt. inc. hta. htc. jsp. cfm. phtml. php. php2. php3. php4. ascx. asmx. js. vbs. css. xml. dtd. xsd. xsl. xslt. php2. php1. impx. dll. ajx. aajx. copy. wget. pop. mail. email. php3. phtml. pl. cgi. html. htm. asp. aspx. py. jsp. shtml. sh. pif. exe. com. bat. cmd.
او بأي امتداد
مثلاا /
php.txt او php.rar او php.gif او حتى php.111
والمنع يكون باستخدام ,,, ملف htaccess
وعند تشغيل سكربت الشيل لن يعمل ,,, كما بهذا المثال
http://www.zyzoom.net/up_exploit/3/test.php.rar (http://www.zyzoom.net/up_exploit/3/test.php.rar)
http://www.zyzoom.net/up_exploit/0001.png
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
ومع استخدام ملف htaccess لن يمنع من تحميل الملفات المسموح لها بالرفع أصلااا
كملفات rar او zip او txt او اي ملفات الصور
كما بهذا المثال
http://www.zyzoom.net/up_exploit/3/test.rar (http://www.zyzoom.net/up_exploit/3/test.rar)
http://www.zyzoom.net/up_exploit/0002.png
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \\
الزبده من السابق كله والفلفسه blushing هو هذا الملف zyzoom_htaccess.zip
رابط التحميل ,,,
http://www.zshare.net/download/2696257c404dca (http://www.zshare.net/download/2696257c404dca)
او في المرفقات
فك الملف المضغوط ,, واستخرج الملف .htaccess وارفعه على مجلد الرفع بموقعك