التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام



العودة   :: vBspiders Professional Network :: > [ ::. الـحـمـايـة ~ Security .:: ] > حمـــاية السيــرفرات والمواقـــع

موضوع مغلق
 
LinkBack أدوات الموضوع انواع عرض الموضوع
قديم 11-23-2011, 10:05 AM   رقم المشاركة : 1 (permalink)
معلومات العضو
ReD-HaT
~|M4$T3R|~
 
الصورة الرمزية ReD-HaT
 

 

 
إحصائية العضو









ReD-HaT غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
ReD-HaT is on a distinguished road

.... تجنب الحقن (جزء 1) sQL Injection


السلام عليكم ورحمة الله تعالى وبركاته

اليوم معنا درس في كيفيت تجنب الحقن السكويل في الموقع

  1. تعريف الحقن الاسكويل : ثغرات الاسكويل تعد من أخطر و أكثر الثغرات شيوعا في المواقع التي تدعم لغة php
  2. في هدا الدرس سنشرح مبدأ الحقن sql , وكيفية تجنبه

- ادن ثغرات السكويل هي ثغرات جد كبيرة و خطيرة على المواقع , و خصوصا ادى كان الموقع فضاء للأعضاء كالمنتدى مثلا , أو موقع فيه معلومات عن الأدمن و اليوزرس
و طبعا تكون قاعدة البيانات MYSQL

أنا هنا قلت MYSQL لأنه توجد عدة قواعد بيانات ك: oracle , sqlite , postgreSQL ,microsoft SQL server ...... سوف أتطرق لشرحها في دروس قادمة

المهم حتى نبدأ الدرس لازم تكون عندك دراية كافية بلغة php و تعرف كل شئ عنها


طرح المشكل

-يوجد نوعان من الحقن sql :

  • الحقن عن طريق المتغيرات التي تحتوي على سلاسل من أوامر الطباعة
  • الحقن عن طريق المتغيرات الرقمية


  1. المتغيرات التي تحتوي على سلاسل الطباعة
- نفترض انه لدينا سكربت php الدي سبيحث مثلا عن عمر عضو بوظيفة اليوزر
هدا اليوزر مر من صفحة لأخرى عن طريق الرابط l'URL عبر GET_$

مثال لسكريبت :
كود PHP:
 <?php ... $pseudo $_GET***91;'user'***93;; $requete mysql_query("SELECT age FROM membres WHERE user='$user'"); ...

- ادن اعلموا على ان هدا السكربت هو ثغرة كبيرة للحقن sql

- يكفي للهكر أن يضع في الرابط l'URL طلب مثل هدا :

كود:
' UNION SELECT password FROM membres WHERE id=1
- بهدا الطلب الهكر هنا يريد الحصول على الباسورد للعضو الدي يحمل الايدي واحد id=1
- لن أتعمق أكثر هنا أعطيتكم مجرد توضيح عن الكيفية

طريقة حماية السكربت

- لحماية هدا النوع من الحقن يكفي اضافة الوظيفة mysql_real_escape_string()

- اها طب كيف تعمل و ماهي وظيفتها ؟

-- هده الوظيفة تضيف طباعة "/" الى الطباعات التالية :

كود:
NULL, \x00, \n, \r, \, ', " et \x1a

- اوكي , في مادا تصلح ؟

-- مثلما لاحظتم في الحقن السابق الهاكر استعمل الاستعلامة ' لكي يخرج ما يحيط ب user$ ادى نحن منعناه من عمل هدا فلن يستطيع الحقن
ادن نستخلص اننا بستعمالنا mysql_real_escape_string() نكون قد فعالنا الحماية للطلب الدي يريده الهاكر

-تطبيق:
كود PHP:
<?php ... $user mysql_real_escape_string($_GET***91;'user'***93;); $requete mysql_query("SELECT age FROM membres WHERE user='$user'"); ...
بتدقيق :

الهاكر يعطي أمر هكدا
كود:
' UNION SELECT password FROM membres WHERE id=1
نحن باستعمالنا ل mysql_real_escape_string() يصبح طلب الهاكر هكدا

كود:
\' UNION SELECT password FROM membres WHERE id=1
مما يعني انه لا يستطيع استخراج user$ بما ان "/" قد أضيفت

ملحوظة : توجد وظيفة أخرى
كود:
addslashes()
تستعمل في PHP 4.3.9 مع magic_quotes_gpc يكون مفعلا

- انتهينا من الشرح في :
  • الحقن عن طريق المتغيرات التي تحتوي على سلاسل من أوامر الطباعة
-- في الدرس التاني سوف نرى الاستغلال و الحماية في المتغيرات الرقمية
  • الحقن عن طريق المتغيرات الرقمية

تم الشرح من طرف

ReD-HaT

الى اللقاء في الدرس القادم و في شروحات أخرى ان شاء الله

تحياتي للجميع





j[kf hgprk ([.x 1) sQL Injection

التوقيع

Vbspiders For Ever

mess with the best
die like rest

-----------------------------------
kevin-ffts@hotmail.fr
wep@hotmail.fr

 


التعديل الأخير تم بواسطة ReD-HaT ; 11-23-2011 الساعة 10:16 AM.

   

قديم 11-23-2011, 10:27 AM   رقم المشاركة : 2 (permalink)
معلومات العضو
vpn_31
Security
 
الصورة الرمزية vpn_31
 

 

 
إحصائية العضو








vpn_31 غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
vpn_31 is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


تسلم يديك على طرح يأخي
بلفعل أنها أخطر ألثغراة

   

قديم 11-23-2011, 10:31 AM   رقم المشاركة : 3 (permalink)
معلومات العضو
ReD-HaT
~|M4$T3R|~
 
الصورة الرمزية ReD-HaT
 

 

 
إحصائية العضو









ReD-HaT غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
ReD-HaT is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


تسلم أخي على مرورك الحلو ^^
التوقيع

Vbspiders For Ever

mess with the best
die like rest

-----------------------------------
kevin-ffts@hotmail.fr
wep@hotmail.fr

 

   

قديم 11-30-2011, 11:50 PM   رقم المشاركة : 4 (permalink)
معلومات العضو
 
الصورة الرمزية Cyber Code
 

 

 
إحصائية العضو








Cyber Code غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 11
Cyber Code is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


بارك الله فيك , الحقن اكثر ثغرة يقع فيها المبرمجين عادتاً

التوقيع

if i gain something from being a hacker
it would be a background of almost every beautiful dream

and if you asked me what did you gain from being a member here

i'll honestly answer , it's a brothers for life


سبحان الله العظيم , سبحان الله وبحمده
استغفر الله العلي العظيم وأتوب إليه

 

   

قديم 12-02-2011, 03:29 AM   رقم المشاركة : 5 (permalink)
معلومات العضو
 
الصورة الرمزية bleu moon
 

 

 
إحصائية العضو








bleu moon غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 12
bleu moon is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


بارك الله فيك يا ريد
بس ياريت تعمل مثلا ملف txt وترفق فيها الاكواد لانها مشفره

   

قديم 12-02-2011, 09:40 PM   رقم المشاركة : 6 (permalink)
معلومات العضو
 
الصورة الرمزية Dr.NaNo
 

 

 
إحصائية العضو







Dr.NaNo غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
Dr.NaNo is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


شكرآ لك بارك الله فيك واصل ابداعكـ . أتمنى في الدروس القادمة وضع مسافات في الكلمات التي يشفرها المنتدى. وبالتوفيق. Dr.NaNo

التوقيع

http://www.vbspiders.com/vb/t61978.html

 

   

قديم 12-03-2011, 12:51 AM   رقم المشاركة : 7 (permalink)
معلومات العضو
 
الصورة الرمزية V!rus bt
 

 

 
إحصائية العضو






V!rus bt غير متواجد حالياً

إرسال رسالة عبر MSN إلى V!rus bt

 

 

إحصائية الترشيح

عدد النقاط : 10
V!rus bt is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


بارك الله فيك

التوقيع

سبحان الله
الحمد لله
لا اله الا الله
الله اكبر

 

   

قديم 12-03-2011, 10:41 AM   رقم المشاركة : 8 (permalink)
معلومات العضو
 
إحصائية العضو







اجتياح الجراد غير متواجد حالياً

إرسال رسالة عبر Yahoo إلى اجتياح الجراد

 

 

إحصائية الترشيح

عدد النقاط : 10
اجتياح الجراد is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


يعطيك العافية

^_^

التوقيع

تونس = الاحرار جزائر= الابطل مغرب= الرجال


عاش المغرب العربي الكبير وحفظ الله دوله من حقد الحاقيدن


http://media.nas.mbc.net/media/image...es/1150891.jpg

 

   

قديم 12-04-2011, 04:26 AM   رقم المشاركة : 9 (permalink)
معلومات العضو
 
إحصائية العضو






°l||l° نور الظلام °l||l° غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 11
°l||l° نور الظلام °l||l° is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


شكراالك

التوقيع

من لايعتبرني مكسبا له لن اعتبر غيابه خسارة لي........
ومن لم يقبل بي كحلا لعينه فلن اقبل به نعلا لقدمي .......
________________________________________--
لعن الله كل جرار قواد وقواده يقود على عرضه وعرض غيره
اتفوه على هي الوجيه الي تجيب الهم ولا تفكر الى بااخبث وانجس
شي ....
الكلام موجه للي يكرهوني ونفوسهم دنيئه على الاقل حافضه شرفي
وماشيه بخير اهو افضل من الي يجرر ويتمحن بالنت وما خفي اعظم

 

   

قديم 12-05-2011, 09:59 PM   رقم المشاركة : 10 (permalink)
معلومات العضو
المفترس
:: مهووس الكمبيوتر ::
 
الصورة الرمزية المفترس
 

 

 
إحصائية العضو





المفترس غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
المفترس is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


مشكور حبيبي
ههههههه فكرتن باستادة الفلسفة عندم وضعت طرح مشكل

المهم الله يجازيك

التوقيع

Almoftarse over from here

تم ترك الهاكر والبرمجة وكل ما يخص الكمبيوتر لمدة عام

لا يوجد في هدا العالم صداقة الا صداقة الوالدين وبعدين صداقة العقل وبعدهما صداقة المال والنفود

 

   

قديم 12-06-2012, 02:47 PM   رقم المشاركة : 11 (permalink)
معلومات العضو
 
الصورة الرمزية hk-nanou
 

 

 
إحصائية العضو





hk-nanou غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
hk-nanou is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


شكرا لك اخي الكريم على الموضوع ومعلومات القيمة

   

قديم 03-11-2015, 06:16 AM   رقم المشاركة : 12 (permalink)
معلومات العضو
 
الصورة الرمزية M.tµcX
 

 

 
إحصائية العضو







M.tµcX غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
M.tµcX is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


يعطيكك الف عافية يالغال

   

قديم 07-21-2015, 02:21 PM   رقم المشاركة : 13 (permalink)
معلومات العضو
 
الصورة الرمزية muhammadwh
 

 

 
إحصائية العضو







muhammadwh غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
muhammadwh is on a distinguished road

Thumbs up رد: تجنب الحقن (جزء 1) sQL Injection


   

قديم 01-10-2016, 10:21 PM   رقم المشاركة : 14 (permalink)
معلومات العضو
 
الصورة الرمزية mimo-dz
 

 

 
إحصائية العضو








mimo-dz غير متواجد حالياً

إرسال رسالة عبر Skype إلى mimo-dz

 

 

إحصائية الترشيح

عدد النقاط : 10
mimo-dz is on a distinguished road

افتراضي رد: تجنب الحقن (جزء 1) sQL Injection


شرح مفيد تسلم بارك الله فيك

   

موضوع مغلق

مواقع النشر (المفضلة)


تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع


الساعة الآن 08:10 PM


[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0