وصف الموضوع

تصريح المجلد ب777 يفتح باب للمخترقين و الهاكرز . هنا تجد بعض الحلول الممكنة للموضوع .

الأوسمة :
777| htaccess| هاكر| تصريح| حماية
في التصنيفات :تصميم و تطوير المواقع

إذا أردت أن تضع وصلة للموضوع في موقعك أو في منتدى يمكنك استخدام الوصلة التالية .

الشفرة :
<a href="http://qatardr.net/class/918" rel="bookmark" > حلول لحماية المجلدات المصرحة بـ777</a>

اضغطCtrl-C أو Apple-C  للنسخ

الوصلة ستظهر كالتالي :
حلول لحماية المجلدات المصرحة بـ777

هذا الموضوع مرخص وفق ترخيص Creative Commons.[ معلومات إضافية حول الترخيص بالعربية]

في الفترة الأخيرة طرحت الكثير من الموضوعات و التي تتعلق بطريقة حماية المجلد و التي تم إعطاء تصريح 777 لها .. أنت تحتاج أحيانا إلى إعطاء تصريح 777 لمجلد تحميل الصور مثلا لو كان لديك مركز تحميل و هذا يعرضك للاختراق بسهولة حتى لو كان سكر يبت تحميل الصور و الملفات مثلا آمن ..

ما هو تصريح 777 ؟

نحن نستخدم أمر اليونكس CHMOD لإعطاء تصريح للملفات و المجلدات من يستطيع الكتابة لهذا المجلد أو الملف و من يستطيع القراءة و من يستطيع تنفيذ أو تشغيل الملفات أو السكريبتات ..

بإعطائك تصريح 777 أن تعطي الصلاحيات للجميع لعمل كل شي قراءة و كتابة و تنفيذ و بالتالي يستطيع الجميع التحميل لهذا المجلد حتى من الخارج .

زوار موقعي لا يعرفون مكان المجلد لذلك لا اعتقد انه يمكنهم استخدامه فيما يضر .. اعتقد أني في أمان .؟

لو كنت تعتقد كذلك فأنت مخطأ ..لو أراد أصغر هاكرو معرفة تفاصيل و هيكلة موقعك مثل عدد المجلدات و أسمائها فأنه يستطيع ذلك بسهولة

قبل عدة أشهر كنا مثلك سأحكي لك الحكاية … في موقعنا الرئيسي ( شبكة الدكتور نت ) وصلتنا رسالة من الشركة المستضيفة مفادها أن هناك على ما يبدو هاكر يحاول تنفيذ ملفات شيل على موقعنا ( ملفات ضارة ) و أن هناك مجلدات كثيرة لدينا تحمل التصريح 777 و هذا خطر .. و من هنا بدأت رحلة البحث عن حل للمشكلة .. توصلنا لعدد من الحلول و التي تبدو معقولة (إن شاء الله ) .. و الآن لا يمكننا الإدعاء أننا في أمان كامل لكننا رفعنا درجة الأمان في موقعنا

لكني أحتاج تصريح 777 لمركز التحميل أو لبرنامجي ؟؟

أنه شر لابد منه لكن سأجمع هنا عدد من الأفكار التي طرحت في الفترة السابقة ..و يمكنك اختيارها جميعها أو اختيار انسبها لك القرار يعود لك .

الفكرة 1 :

إنها الفكرة التي أفضلها في اغلب الأوقات ( و ليس كلها ) و هي تتعلق بتطبيق php فأنا أعطي مجلد التحميل التصريح العادي 755 و لكن عند تحميل الملف يقوم البرنامج بتغير التصريح إلى 777 باستخدام الأمر

<?  chmod("/somedir/somefile", 0777); ؟>

و من ثم يقوم البرنامج بتحميل الملف و بعد ذلك إعادة التصريح إلى 775 باستخدام نفس الأمر..

المشكلة الوحيدة هنا إن php يجب أن يكون مالك المجلد Owner لتغير التصاريح و هناك حلان أطلب من مستضيف موقعك أن يعطي الphp ملكية هذا المجلد أو أنشأ ملف php مؤقت يقوم بإنشاء المجلد

chmod("/somedir/somefile", 0755);

و ذلك أول مرة فقط و بالتالي سيملك الphp المجلد ويستطيع تغيير صلاحياته .

الفكرة 2:

تعتمد هذه الفكرة على إعطاء المجلد التصريح 777 و استخدام ملف .htaccess ( اقرأ أكثر عن htaccess هنا ) و باستخدام أوامر أباتشي لتعطيل تنفيذ ملفات php و cgi … الخ و التي يمكن استخدامها لتنفيذ أوامر تضر بسيرفرك.

داخل htaccess ضع

php_flag engine off

RemoveType .php .php3 .phtml .pl .cgi.html.htm.asp.aspx

و رفع هذا الملف في كل مجلد تحتاج لحمايته و تحتاج لتصريحه إلى 777

مصدر هذه الفكرة :

• http://forums.devshed.com/security-and-cryptography-17/solution-to-777-directory-hack-problem-319823.html
• سوالف سوفت
• http://www.webmasterworld.com/forum10/3543.htm

• اضيف  في 14 مايو 2006
• الزوار : [ 2,084 قارئ ]
• هذا الموضوع مرخص وفق ترخيص Creative Commons.[ معلومات إضافية حول الترخيص بالعربية]