أولاً ما هى الثغرات ؟؟
الثغرات هى خطأ برمجى يمكنك من إحتلال مآحة خاصة بك من ذاكرة النظام وإدخال أوامرك إليها
بحيث تُنفذ تلك الأومر على إنها أوامر من البرنامج المصاب بالثغرة أو الذى به الخطأ البرمجى
نخرج من التعريف ببعض الأشيآء التى سوف تتبادر إلى ذهننا
1- الخطأ البرمجى ؟؟
طيب على الرغم من أنك لابد بكون عندك فكرة بلغة برمج إلا أننى بإذن الله سوف اجعل المعلومة تصل إليك
لنقول أولاً قواعد نتفق عليهآ وهم : ( أى لغة برمجة فى الكون بهآ قيم ) ؛
( أى قيمة تحتل مسآحة من ذاكرة النظام ) ؛ ( أى قيمة تحمل بيانات )
انا رآح اعطيكم مثال هُنآ على ثغرة من نوع Over Flow لأنها الأقرب إلى الذهن
مثلاً : انا مُبرمج أقوم الأن بكتابة برنامج وهذا البرنامج آلة حآسبة
طيب عندنا بأى لغة برمجة شئ اسمه نوع القيمة يعنى لو القيمة ارقام أو حروف أو مآ إلى ذلك
قمت وانا اكتب البرنامج بتحديد نوع القيمة بأنها ارقام عشرية فقط (من هنا تنشأ الثغرة)
والمستخدم قآم بإدخال أرقآم كسر ماذا يفعل البرنامج حقى البرنامج حقى ليس مبرمج للتعامل
مع هذآ النوع من الأرقآآم لذا سوف يزيد حجم البيانات التى تحملها القيمة الواحدة وهُنآ يحدث الطفح
طفح فى البيانات أو زيادة ما نسميه Over Flow هذه الزيادة تسبب خطأ غير مرئى للمستخدم نقوم نحن بالأتصآل بهذآ الجزء من البرنامج
عن طريق الأنترنت ونقوم بإستغلال الثغرة من خلال تنفيذ الأكواد الخبيثة الخآصة بنآ للتحكم فى ذلك الجهاز
ملحوظة هآآمة : ( أى مبرمج يتسطيع الأختراق من خلال البرنامج الذى كتبه بيديه ).
هذه أقرب صورة استطيع إيصآلها إليكم لكن أى شخص منكم له علاقة بالبرمجة يستطيع الفهم وبسهولة .
ثانياً : ما هى أنواع الثغرات ؟؟
إذآ فهمت المثآل السابق ستفهم هذه العبآرة بحذافيرهآ ( أنواع الثغرات لا تُعد ولا تُحصى )
لمذآ لا تُعد ولا تُحصى ؟؟ كما قُلنآ لأن أى مبرمج بالعآلم معرض لأخطآء الألة أو أخطآء الثغرات
ولماذا هوه دائماً مُعرض ؟؟ لأنه ببسآطة أخطاء الثغرات ليس أخطاء كتابية باللغة
بل أخطاء منطقية تعتمد على ذهن الأنسآن وليس على البرنامج المستخدم فى الكتابة .
والثغرات فى تقسيمها من نآحية الأتصآل فهى : ( Local , Remote )
أمـ,ـآآ من ناحية لغة البرمجة فهى : ( Perl , Python , C , C++ , C# , Ruby ...... Forward To No End ) أمـ,ـآآ من ناحية اسم الخطأ و الوظيفة فهذه أشهرها وأكثرها تداولاً :
SQL Injection Vulnerability
لأختراق قواعد البيانات من نوع SQL
Blind SQL Injection Vulnerability
لحقن قواعد البيانات من نوع SQL
Auth Bypass] SQL Injection Vuln]
للحصول على كلمات مرور قواعد البيانات من نوع SQL
Authentication Bypass Vulnerability
لتخطى قيم البرامج
Remote Command injection Exploit
لحقن أوامرك الخآصة بالشل كود فى البرامج
Database Backup Exploit
لأختراق قواعد البيانات من خلال ملفات الأسترجاع
Remot Password Change
تمكنك تلك الثغرة من تغيير كلمات المرور عن بعد
Remote File Disclosure Vulnerability
ثغرات الكشف عن الضعف بإتصآل خارجى
Remote XSS Vulnerability
من ثغرات المواقع التى تمكنك من سحب الكوكيز
Add Administrator Account Exploit
لأضآفة آدمن على السيرفر
Local File include Vulnerability
إضآفة ملفات الأوامر بإتصآل محلى
Remot File include Vulnerability
إضآفة ملفات الأوامر بإتصآل خارجى
Html injection Vulnerability
لأخترق التطبيقات والمواقع بلغة HTML
Remot File Upload Vulnerability
لرفع الملفات عن بُعد
Remot Buffer Overflow
ثغرات الفيض من خلال اتصال خارجى
Local Buffer Overflow
ثغرات الفيض من خلال اتصال داخلى
Remot Code Execution Vualnerability
ثغرات استبدال أكواد البرامج بأكوادك انت
Remot Crash Exploit
لتسبب بخطأ فى البرنامج من خلال اتصال خارجى
Directory Traversal Vuln
دليل إجتياز حمايات القيم
وغيرهآ الكثير والكثير هذه فقط بعضهآ وعليكم إكتشآف وتجربة الباقى بأنفسكم .
وبالطبع حتى يكون لك خبرة بالثغرات لابد بك من الذهآب إلى موقع Exploit Data-Base وتحميل لأى نوع ثغرات يقابلك
وقرائته إذآ كُنت تجيد لغة برمجة ثم استغلال الثغرة وهكذآ حتى تتكون لديك الخبرة الازمة للتعامل مع اى ثغرة وربمآ تصل حتى لمرحلة كتابة الثغرات
أتمنى ان تكونوا قد استفدتم
إن استفدتم فدعوة صآدقة لوالدى بالشفآآء استودعكم الله ...
lNidm hgeyvhj ,Hk,huiN >
08-01-2012, 02:05 PM
مآهية الثغرات وأنواعهآ . 
العرض الشجري
