دليل المواقع دمز




ركن تطوير منتديات vb3.8.0 القسم خاص بتطوير منتديات الجيل الثالث ويمنع منعاً باتاً.. كتابة اي موضوع يهتم بمشاكل المنتديات (( يمنع وضع نسخ vBulletin ))

ضبط التصاريح لمجلد .htpasswds لإخفاء المسارات لحب مشكلة تخطى جدار الحماية

اليوم انا جاى ومعايا موضوع مفيد جدا جدا للكل ويعتبر من أهم دعائم الحماية الخاصه بموقعك ومنتداك طبعا الكل...

احصائياتى

الردود
0

المشاهدات
1112
هيلبرنت
.:: رفيق درب ::.
  • هيلبرنت has much to be proud ofهيلبرنت has much to be proud ofهيلبرنت has much to be proud ofهيلبرنت has much to be proud ofهيلبرنت has much to be proud ofهيلبرنت has much to be proud ofهيلبرنت has much to be proud ofهيلبرنت has much to be proud ofهيلبرنت has much to be proud ofهيلبرنت has much to be proud of

  • هيلبرنت غير متواجد حالياً

المشاركات
10,455

+التقييم
304

تاريخ التسجيل
Jul 2015

الاقامة
فى الدنيا

نظام التشغيل
windows 8

رقم العضوية
18
10-12-2015, 12:11 AM
المشاركة 1
10-12-2015, 12:11 AM
المشاركة 1
افتراضي ضبط التصاريح لمجلد .htpasswds لإخفاء المسارات لحب مشكلة تخطى جدار الحماية
اليوم انا جاى ومعايا موضوع مفيد جدا جدا للكل ويعتبر من أهم دعائم الحماية الخاصه بموقعك ومنتداك

طبعا الكل بيقوم بعمل جدار حماية بأسم مستخدم وكلمة مرور لمجلدات المنتدى الهامه مثل Admincp , Modcp,Install أو أى مجلد آخر لأى سكربت
ولكن للأسف الشديد بنتصادم حين نكتشف أن المنتدى أو الموقع تم أختراقه !!!
طب كيف تم إختراقه ومجلد الأدمن عليه جدار حماية ؟؟ !!! سؤال طبعا الكل نفسه يجد له حل ويقدر يقضى على هذه الثغره
لكن الحمد لله وبفضله تعالى علينا أجمعين أكتشفت طريقه جديده لا أعتقد غير أن القليل القله من العرب اللى يعلمون هالطريقه وكيفية سد هذه الثغره بها
الطريقه أنا طورتها من خلال بحثى فى مواقع الهكر والأختراق ومعرفة كيفية قيامهم بتخطى جدار الحماية

أولا : نعرف كيف يقومون بتخطى جدار الحمايه:
يقوم المخترق بالبحث عن أى مجلد فى الموقع بتصاريح 777 ويقوم برفع عليه ملف الشل الذى سيقوم بالاختراق من خلاله وعمل كل شئ فى الموقع ( من الممكن جدا أنه يكون ليس لديك أى مجلدات لها تصاريح 777 يعنى ما أحد راح يقدر يرفع ملف الشل. للأسف الشديد من الممكن يقدر عن طريق حاجتيين :
  1. أنه يقوم بالبحث بـ IP الخاص بالسيرفر الموجود عليه موقعك عن بقية المواقع الموجوده على نفس السيرفر ويبحث فيها عن أى مجلد له تصاريح 777 وإذا قد يرفع عليه ملف الشل ، يقدر يوصل بالملف لموقعك ويحصل على ما يريد.
  2. ومن الممكن من ثغره فى السيرفر يتمكن المخترق من رفع الشل أيضاً على موقعك.
طيب فلنفترض أنه المخترق لم يستطع رفع أى ملف شل على موقعك نهائياً أو على أى موقع آخر على نفس سيرفر موقعك؟
يبقى كدا تحمد ربك ويبقى الحمد لله ما راح يقدر المخترق يتخطى جدار الحماية نهائياً وما تكمل الشرح هذا

نأتى لإفتراض أنه المخترق أستطاع أنه يرفع ملف الشل على الموقع . كيف راح يتخطى جدار الحماية ؟
عند عمل أى جدار حماية على أى مجلد فى الموقع بيتم وضع بيانات جدار الحماية فى مجلد بجانب مجلد www وبيكون مسمى باسم .htpasswds ( يعنى المجلد الموجود بداخله بيانات جدار الحماية بيكون على المسار التالى


كود PHP:
/home/username/.htpasswds 
username : هو اسم مستخدم الدخول للوحة تحكم الموقع cPanel

طيب وين بالظبط فى مجلد .htpasswds يتم وضع بيانات الجدار النارى ؟
مثلا : أنت مسوى لمجلد admincp الموجود بداخل مجلد المنتدى vb جدار حماية
الملف اللى راح يكون عليه بيانات الجدار النارى لمجلد admincp راح يكون اسمه passwd وبيكون على المسار التالى



كود PHP:
/home/username/.htpasswds/vb/admincp/passwd 
بيقوم المخترق من ملف الشل المرفوع بعمل انتقال ( go to ) لمجلد أسمه .htpasswds واللى راح يكون بداخله البيانات اللى المخترق محتاجها علشان يقدر يتخطى الجدار وبيوصل للمجلد وبيدخل لملف passwd
المهم ايه المطلوب لكى يتم تقفيل هذه الثغره تجنبها نهائياً ؟
ما علينا سوى القيام بعمل عدة خطوات سهله وبسيط وبعدها نحمد ربنا سبحانه وتعالى :
أهم شئ يا أخوان تركزوا بالله عليكم فى الخطوات لكى ما يحدث خطأ معكم لا قدر الله
راح نسد ثغرة أختراق مجلد admincp بس الأول تروح تعمل جدار حماية لهذا المجلد من لوحة التحكم
  1. اول شئ راح نغير اسم المجلد .htpasswds لأى أسم آخر من عندك وأنا على سبيل المثال راح أسميه amr ( على أسمى )
  2. بعد ذلك نفتح المجلد المسمى باسم جديد amr وسنجد مجلد vb نقوم بتغييره أيضاً إلى أسم آخر وليكن traidnt
  3. نقوم بالدخول الى المجلد الجديد traidnt وسنجد مجلد admincp نغير اسمه الى enter
  4. نقوم بالدخول الى المجلد الجديد enter ونجد بداخله ملف passwd نغير اسمه إلى entertraidnt
    تذكر أسماء المجلدت الجديده لأنه راح نحتاجها بعد شوى
  5. توجه إلى مجلد public_html الموجود فى الرئيسية فى الـ FTP وأدخل على مجلد المنتدى vb ثم مجلد admincp اللى مسويين له جدار حماية

    ستجد بداخله ملف باسم .htaccess افتحه وستجد بداخله مسار ملف البيانات الخاص بجدار الحمايه واللى راح يكون


    كود PHP:
    /home/username/.htpasswds/vb/admincp/passwd 
  6. نقوم بتعديل هذا المسار لأسماء المجلدات الجديده : يعنى الاسم .htpasswds يتم تعديله الى amr على اساس التعديل السابق بالأعلى

    الاسم vb راح نعدله ألى traidnt
    الاسم admincp راح نعدله إلى enter
    الاسم passwd راح نعدله إلى entertraidnt
    بحيث يكون المسار الجديد المعدل بهذا الشكل


    كود:
    /home/username/amr/traidnt/enter/entertraidnt


7- ثم احفظ الملف

ملحوظة هامه جدا
جدا
: اسماء المجلدات السابقه فى شرح سد الثغره ليست سوى مثال فقط تقدر تغيرها الى أى اسم تريده
مبروك عليك سد ثغرة تخطى جدار حماية مجلد admincp

شئ مهم آخر : كى تقوم بتغيير مسمى مسار واسماء المجلدات الموجود بها ملف الحمايه لمجلد معين سيكون كتالى: مثلا راح نعدل مسار ملف حماية مجلد install اللى موجود على المسار التالى :



كود:
/home/username/public_html/vb/install
ستجد مسار ملف الحماية له على المسار التالى :



كود:
/home/username/.htpasswds/vb/install/passwd
تقدر تكرر عملية التعديل على أى مجلد آخر وبكل سهولة بنفس الخطوات السابقه

الشرح من ابداع الأخ عمرو
Dr.MinD

اضافة رد

العلامات المرجعية

ضبط التصاريح لمجلد .htpasswds لإخفاء المسارات لحب مشكلة تخطى جدار الحماية


أدوات الموضوع

الانتقال السريع

المواضيع المتشابهه للموضوع: ضبط التصاريح لمجلد .htpasswds لإخفاء المسارات لحب مشكلة تخطى جدار الحماية
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
درس 2: اعداد جدار الحماية والبريد والمود سكيورتي والرولز للوحة Mighty Dr.Wolf ركن شروحات الاستضافة 10 05-30-2020 10:31 PM
اوامر جدار الحماية CSF المهمة عن طريق SSH Mighty Dr.Wolf ركن شروحات الاستضافة 10 02-06-2020 09:40 PM
حل مشكلة التصاريح لل ftp لموقع على لوحة centos web panel Mighty Dr.Wolf ركن شروحات الاستضافة 25 05-12-2019 06:56 PM
[Facebook] فيس بوك يعلن ميزة snooze لإخفاء منشورات الأصدقاء المزعجين لمدة 30 يوما هيلبرنت ركن مواقع التواصل الإجتماعي 0 12-16-2017 09:01 PM
الدرس الثانى شرح عمل جدار ناري لمجلد المنتدى والملفات الهامه abo-karim ركن تطوير منتديات vb3.8.0 5 09-21-2016 01:36 PM




الساعة الآن 01:45 PM
Powered by vBulletin® Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. TranZ By Almuhajir
RSS 2.0XML Site MapTAGS SiteInfo SiteRSS FeedMap SectionsvB MapsMap TagSitemap ForumMaps Forum