[gdwl]بسم الله الرحمان الرحيم[/gdwl] ثغره xss نتابع يا اخواني^_^ كيفه نحمي نفسنه من ثغرهxss حبيت اخواني اوضح ليكم طرق الحماية من ثغرة xss والتي يتم عن طريقها اختراق بريدك على الهوت ميل كما انه يتم عن طريقها العديد من عمليات الاختراق اولا:- ماذا تعني الثغرات الثغره هي عبارة عن خطأ برمجي يمكننا استغلاله في أن نجعل النظام يقوم بتنفيذ أوامرنا التي نعطيها إليه. الثغرات كثيرة لاتعد ولاتحصى في أنواع كثيرة من الأنظمة وسأتطرق لثلاث أنواع أساسية في نظام php 1- File Include (إدراج ملف) 2- Sql Injection (تنفيذ أوامر في قاعدة البيانات) 3- XSS (تستخدم لسرقة الكوكيز سواء للمنتدى أو لسكريبت أو لأي برنامج) النوع الأول: ثغرة File Include / هو أخطر أنواع الثغرات ويسري عبر أخطاء برمجية مما يجعل الهكر يقوم بإدراج ملف she ll خطير يمكنه من التلاعب بالموقع واختراقه. النوع الثاني: ثغرة Sql Injection / وهذا أقل خطورة من الفايل انكلود ويقوم عبر أخطاء برمجية بإرسال أوامر إلى قاعدة البيانات مثلاً أمر لقراءة معلومات عضوية الأدمن رقم واحد أو أمر لتغيير كلمة مروره . النوع الثالث:XSS / يعتبر أقل خطورة من النوع الأول والثاني وأكيد الكل سمع بهذا النوع من الثغرات، وهذي الثغرات من خلالها نقدر نسحب كوكيز أي عضو بالموقع مثل الهوتميل لكن تعتبر أقل خطورة طبعا والي يهمنا احنا النوع الثالث الي هو موضوعنا اليوم وكما اواضحت بالاعلى ان xss تعطينا القدره على سحب ملفات الكوكيز هنقول وماهي اهمية ملفات الكوكيز لكن لنفرض مثلا ان في هذي الكوكيز بها معلومات تفيد اي هكر في سرقه صاحبها .. مثلا الحين عندنا منتدى vBulletin و انت مشترك فيه و نفرض انه هناك مثلا ثغرة xss بهذا المنتدى و هذي الثغرة تمكنا من عرض الكوكيز .. راح يكون في معلومات مهمه بهذي الكوكيز مثل LastVisit ( اخر زيارة لك بالمنتدى ) Userid ( رقــم العضو بالمنتدى ) و Password ( باسورد العضو بالمنتدى مشفر Md5 ) طيب الحين نفرض ان اي هكر قدر يحصل علي هذي الكوكيز ايش يقدر يسوي بها ؟ اول شئ كدة قدر يعرف رقم عضويتك بالمنتدى المصاب و الباسورد تبعك المشفر و الحين يقدر يستغل رقم العضوية و الباسورد في سرقة حسابك بالمنتدى يقدر يفك تشفير الmd5 تبع الـPassowrd و يطلع اسم عضويتك بالمنتدى عن طريق رقم العضوية و بعد كدة يسرق حسابك .. وجزء المنتدى لا يفيد بس حبيت اوضحه السؤال الاخر كيف راح يصل الهكرز لملف الكوكيز الموجود على الجهاز الخاص بي راح يصل الي هذا الكوكيز الموجود على الجهاز عن طريق الرسايل الخبيثه والتي تحتوي على روابط وبمعنى اخر المفروض على الواحد ما يفتح اي رساله مشكوك في امرها وغالبا ما نجد الكثير من الرسائل في الصندوق والوارد فضحية فلانه وصور لاحدهم وهكذا من الامثله وهي في بعض الاحيان تكون محاوله للايقاع بك طبعا انا ما اقول في الدايم بقول في بعض الاحيان ولكي لا اطيل عليكم اقدم طرق الحمايه لبريد الهوت ميل اولا طريقه يفضل استخدام متصفح Internet Explorer7 لان مستوى الامن به عالي ثاني طريقه انك تنزل متصفح اسمه Mozilla Firefox وتعتبره متصفح افتراضي سوي بحث هنا او في جوجل وراح يطلعلك اول شي سويله تحميل وتنصيب وينتهي الخوف من الثغره . ثالث طريقه تحميل برنامج المكافي اخر اصدار او تحديث اي اصدار الى اخر نسخه ويعتبر جبار في التصدي للكويكز رابع طريقه يوجد برنامج للتصدي للكويكز او اعلامك عن وجود خروج للكويكز من جهازك ويعطيك اعلام عن قبولك او رفضك وهو جيددددددددد اسمه البرنامج cp1setup وهذا وصلته من السريل : ****** Pal 1.6a لحماية جهازك من ال****ز الغير مرغوب في زرعه http://www.kburra.com/downloads/cp1setup.exe Name: Dhafer Al-holaisi s/n: 3335201 خامس طريقه وهذه الطريقة تحميك فقط من الرسائل التي تصلك ويوجد بها روابط مشبوهة اما الروابط التي تضغط عليها في الماسنجر فهي لا تفيدك ( لا تضغط على اي رابط مشبوه ) . بالبداية ادخل الى ايميلك بالهوتميل , ومن ثم ادخل للخيارات 1-Options 2-Mail Display Settings 3-بعدها اذهب الى الخيار الاخير وفعل الخيار الاول كما هو موضح ( تنبيه للرسائل المشبوهة )في الصورة : http://upload.*********/image/1YwOmK...64be3.jpg.html ملاحظة في حالة الضغط على اي رابط مشبوه يرجى سرعة تغير الباس الورد والسؤال السري الطريقه السادسه وما متأكد منها في طريقه سمعت عنها وهي من اعدادات ال Internet Explorer وهي انك تروح على Internet Explorer كلك يمين وخصائص وتختار التالي ادوات ==> خيارات انتر نت ===> امان===>مستوى التخصيص وهنا عطل الكل مثل الجافا وعناصر التحكم وتسليم البيانات وسوي حفظ ========= وفي الاخير كل واحد يحمي نفسه بقى لو ما سمع الكلام وربنا يحيمنا ويحمكم كلنا لانه الشاهد المطلع ويارب الموضوع يعجبكم واكون وفقت,, النهايه.. سي يو تحياتي
انشاء الله رد حلووووووو ^_^
مشكوور والله يعطيك العاافيه نبهتنا عن حجاات كنا لاهين عنها وااصل ابدااعااتك وباارك الله فيك تقبل مرووري
انا تجرعت الظما لين أحترق وجهي وذاب انـا كسـرت بخاطـري قبـل الصداقـه تكسـره انا أكثر انسان تعلم من كثر ماأخطأ وصاب انا أخر لسـان يتكلـم فـي زمـان الثرثـره جفني وجرّحه السهر ، حيلي وهدّت الصعاب دمعي هدر،ضحكي ندر،عمري وضيعت أكثـره شيبت بعقول العرب..هيبت روس ٍ ماتهاب جمهـرت نـاس ٍ عمرهـم مايعرفـون الجمهـره ماصرت ذيب إلا لأن اللي تحدوني ذيـاب مـا كنـت أغيـب إلا لأن العفـو عنـد المقـدره V تحيااااااااااااااااااتي لكم للتواصل عبر لايميل الجديد ju.9@hotmail.com
واصل يا بطل
جااااااااااااااري
مشكووووووور وتعبت نفسك
وااااااصل ياوحشــــــــــــــــــــ ــ
[IMG]http://www7.0zz0.com/2010/09/10/01/873378380.gif[/IMG] [IMG]http://www3.0zz0.com/2010/09/10/01/956300772.jpg[/IMG] Will Be BaCK Soon
منوووووورين والله
جيوش الهكر يجمعـــــــنااا جيوش الهكر www.aljyyosh.com
مشكوووووووووووووووووووووو وووور يا اخي
تأكد!!!حين تنكسر . .. لن يرممك سوى نفسك ... وحين تنهزم ... لن ينصرك سوى ارادتك.. فقدرتك على الوقوف مره اخرى... لا يملكها سواك ... فكن أقوى من الدنياوظروفها ... ومهما حدث !! لا تبكي !! ولكن ... (( ابتسم )) ... ودع الدنيا تبكي !!! من جبروت ... ابتسامتك ..... index9@9.cn
قوانين المنتدى