l(( مهم ))- كيف تحمي منتداك من الإختـــــراق
26-03-2007, 04:41 PM
أردت أن أنشر هذا الموضوع و تبيان لبعض الثغرات الأمنية في منتديات ال Vb و التي يجب اصلاحها و ذلك بأكواد مختلفة
و أنا سأتكلم في الموضوع عن النسخة الثالثة ألا و هي vbulletin 3.0 فما فوق
الموضوع يتناول عن الثغرات وكيفية سدها وسوف يكون مجدد بأستمرار
معا مراعة عدم ذكر كيفية الاستغلال
وسوف يكون موضوع متكامل بأذن الله
ملاحظة هامة : أغليب المنتديات تستعمل ما يسمى بالهاك أي product لتزيد من جمال المنتدى و تصميماته ... و هذه
الهاكات موجودة على الشبكة مجانيا و لكن بعض الأحيان تعطى مجانا عمدا فيها ثغرات التي تساعد صاحبها على
اختراق منتداك...على العموم بعض الأحيان تعتبر هذه الهاكات وسيلة للتجسس على المنتدى
من اهم الأشياء :
* كلمات المرور :
أسهل طريق أمام المخترق هو تجربة كلمات مرور عدة حتى يصل لهدفه ... أو قد يقوم صاحب المنتدى بنشر كلمة مروره عن طيبة قلب لشخص أو لآخر .....
يجب الحذر كثيراً من هذه النقطة .... حاول تغيير كلمة مرورك بشكل دوري و لا تحفظها في أي مكان على جهازك (إذا خشيت من نسيان الكلمة فعليك بحفظها على ورقة خارجية) . كذلك لا تحفظها في المتصفح فقد يكون الوصول إليها سهلاً لو نجح المخترق في اختراق جهازك الشخصي .
* الحماية المضاعفة مع htaccess .
هذه الطريقة تسمح لك بوضع كلمة مرور إضافية على مجلد الأدمن الخاص بمنتداك ..... أنصح الجميع بعدم التهاون بهذه النقطة .... فلو فرضنا أن المخترق تمكن من اكتشاف ثغرة في المنتدى و أعطى لنفسه صلاحيات المشرف فإنه لن يتمكن من الدخول على لوحة التحكم بأي حال من الأحوال ... لأنها محمية بكلمة مرور مضاعفة (مشفرة أيضاً) .....
*لا تستخدم اسم الـ Admin في مشاركاتك في المنتدى ...:
يفضل أن تنشأ اسماً خاصاً تدخل به على لوحة التحكم و اسماً آخراً تشارك به في المنتدى و السبب أن لا يكون اسم الأدمن معروفاً للجميع و في ذلك بعض الخطورة .
*تغيير خصائص الأدمن :
نعلم جميعاً أن المنتديات تعطي صلاحية للأعضاء المنتمين للعضوية Adminstration
و أغلب الثغرات التي يحاول المخترقون ايجادها تكون بإعطاء صلاحية أدمن لنفسه ....
إذن .... الحل الأكيد لمنع مثل هذه المحاولات هو تغيير خصائص الأدمن من لوحة التحكم الخاصة بمنتداك ..... كل ما عليك هو أن تغيير خصائص الأدمن ليصبح مثله مثل أي عضو آخر (لا يستطيع تعديل المواضيع - لا يستطيع دخول لوحة التحكم - لا يستطيع رؤية الساحات الخاصة) ..... عندها تستطيع أن تنام و أنت مرتاح البال .... (==>نصيحة مجرب )
*تحديث المنتدى بشكل دوري :
احرص على الحصول على آخر نسخة من منتداك لأنها غالباً ما تكون خالية من ثغرات النسخ القديمة ..... و لا بأس من التروي قليلاً للتأكد من خلو النسخة الجديدة من الثغرات أيضاً ...
*متابعة الموقع الرسمي للمنتدى :
احرص على زيارة الصفحة الرئيسية للشركة المنتجة للاطلاع على آخر الثغرات و رقع هذه الثغرات .
*عمل باك آب Back upبشكل دائم للمنتدى :
من البدايه أن هذه النقطة هي نقطة مهمة جداً .... لأنك على أسوأ الأحوال ستتمكن من العودة إلى آخر نقطة عملت باك آب عندها ...
ماهو الموعد المناسب لعمل باك آب ؟back up
هذا يعتمد على حجم منتداك ..... فقد تحتاج لعمل باك آب بشكل اسبوعي أو حتى يومي إذا كان المنتدى ضخماً ...
*اجعل كلمات المرور غير ظاهرة في لوحة التحكم :
مثلاً في منتديات الـ VB هناك خاصية تسمح لك بإخفاء كلمات المرور في لوحة التحكم و ذلك من خلال ملف Config الخاص بمنتداك ... (كل ما عليك هو تغيير أحد القيم من 1 إلى 0) .
* عليك أن تحرص استضافة موقعك لدى شركة معروفة و مضمونة ببرامجها الآمنة و المتجددة دائماً ...
* كما أرجو ألا تهمل كلمة مرورك بأي حال من الأحوال .
*احرص على استخدام صفحات الخطأ البديلة لأنها تمنع المخترق من معرفة نوع السرفر الذي يعمل عليه موقعك .
و سأعطي تفصيلا لكل ثغرات الأمنية و حلها بالتفصيل لا حقا
وفقكم الله
منقول للفائدة
و أنا سأتكلم في الموضوع عن النسخة الثالثة ألا و هي vbulletin 3.0 فما فوق
الموضوع يتناول عن الثغرات وكيفية سدها وسوف يكون مجدد بأستمرار
معا مراعة عدم ذكر كيفية الاستغلال
وسوف يكون موضوع متكامل بأذن الله
ملاحظة هامة : أغليب المنتديات تستعمل ما يسمى بالهاك أي product لتزيد من جمال المنتدى و تصميماته ... و هذه
الهاكات موجودة على الشبكة مجانيا و لكن بعض الأحيان تعطى مجانا عمدا فيها ثغرات التي تساعد صاحبها على
اختراق منتداك...على العموم بعض الأحيان تعتبر هذه الهاكات وسيلة للتجسس على المنتدى
من اهم الأشياء :
* كلمات المرور :
أسهل طريق أمام المخترق هو تجربة كلمات مرور عدة حتى يصل لهدفه ... أو قد يقوم صاحب المنتدى بنشر كلمة مروره عن طيبة قلب لشخص أو لآخر .....
يجب الحذر كثيراً من هذه النقطة .... حاول تغيير كلمة مرورك بشكل دوري و لا تحفظها في أي مكان على جهازك (إذا خشيت من نسيان الكلمة فعليك بحفظها على ورقة خارجية) . كذلك لا تحفظها في المتصفح فقد يكون الوصول إليها سهلاً لو نجح المخترق في اختراق جهازك الشخصي .
* الحماية المضاعفة مع htaccess .
هذه الطريقة تسمح لك بوضع كلمة مرور إضافية على مجلد الأدمن الخاص بمنتداك ..... أنصح الجميع بعدم التهاون بهذه النقطة .... فلو فرضنا أن المخترق تمكن من اكتشاف ثغرة في المنتدى و أعطى لنفسه صلاحيات المشرف فإنه لن يتمكن من الدخول على لوحة التحكم بأي حال من الأحوال ... لأنها محمية بكلمة مرور مضاعفة (مشفرة أيضاً) .....
*لا تستخدم اسم الـ Admin في مشاركاتك في المنتدى ...:
يفضل أن تنشأ اسماً خاصاً تدخل به على لوحة التحكم و اسماً آخراً تشارك به في المنتدى و السبب أن لا يكون اسم الأدمن معروفاً للجميع و في ذلك بعض الخطورة .
*تغيير خصائص الأدمن :
نعلم جميعاً أن المنتديات تعطي صلاحية للأعضاء المنتمين للعضوية Adminstration
و أغلب الثغرات التي يحاول المخترقون ايجادها تكون بإعطاء صلاحية أدمن لنفسه ....
إذن .... الحل الأكيد لمنع مثل هذه المحاولات هو تغيير خصائص الأدمن من لوحة التحكم الخاصة بمنتداك ..... كل ما عليك هو أن تغيير خصائص الأدمن ليصبح مثله مثل أي عضو آخر (لا يستطيع تعديل المواضيع - لا يستطيع دخول لوحة التحكم - لا يستطيع رؤية الساحات الخاصة) ..... عندها تستطيع أن تنام و أنت مرتاح البال .... (==>نصيحة مجرب )
*تحديث المنتدى بشكل دوري :
احرص على الحصول على آخر نسخة من منتداك لأنها غالباً ما تكون خالية من ثغرات النسخ القديمة ..... و لا بأس من التروي قليلاً للتأكد من خلو النسخة الجديدة من الثغرات أيضاً ...
*متابعة الموقع الرسمي للمنتدى :
احرص على زيارة الصفحة الرئيسية للشركة المنتجة للاطلاع على آخر الثغرات و رقع هذه الثغرات .
*عمل باك آب Back upبشكل دائم للمنتدى :
من البدايه أن هذه النقطة هي نقطة مهمة جداً .... لأنك على أسوأ الأحوال ستتمكن من العودة إلى آخر نقطة عملت باك آب عندها ...
ماهو الموعد المناسب لعمل باك آب ؟back up
هذا يعتمد على حجم منتداك ..... فقد تحتاج لعمل باك آب بشكل اسبوعي أو حتى يومي إذا كان المنتدى ضخماً ...
*اجعل كلمات المرور غير ظاهرة في لوحة التحكم :
مثلاً في منتديات الـ VB هناك خاصية تسمح لك بإخفاء كلمات المرور في لوحة التحكم و ذلك من خلال ملف Config الخاص بمنتداك ... (كل ما عليك هو تغيير أحد القيم من 1 إلى 0) .
* عليك أن تحرص استضافة موقعك لدى شركة معروفة و مضمونة ببرامجها الآمنة و المتجددة دائماً ...
* كما أرجو ألا تهمل كلمة مرورك بأي حال من الأحوال .
*احرص على استخدام صفحات الخطأ البديلة لأنها تمنع المخترق من معرفة نوع السرفر الذي يعمل عليه موقعك .
و سأعطي تفصيلا لكل ثغرات الأمنية و حلها بالتفصيل لا حقا
وفقكم الله
منقول للفائدة
من مواضيعي
0 نواقض الإسلام لسماحة الشيخ/ عبدالعزيز بن عبدالله بن باز رحمه الله
0 الفرق بين ( إن شاء الله ) و ( إنشاء الله ) وأيهما صحيح ويجب استخدامها ..!
0 (حقيقة لا إله إلا الله ) للشيخ صالح بن فوزان بن عبد الله الفوزان
0 شروط " لا إله إلا الله "
0 لقطة فيديو لشيخ يأتية ملك الموت وهو يلقي خطبة في المسجد
0 لماذا يقال : ( أضحك الله سنك ) ؟.
0 الفرق بين ( إن شاء الله ) و ( إنشاء الله ) وأيهما صحيح ويجب استخدامها ..!
0 (حقيقة لا إله إلا الله ) للشيخ صالح بن فوزان بن عبد الله الفوزان
0 شروط " لا إله إلا الله "
0 لقطة فيديو لشيخ يأتية ملك الموت وهو يلقي خطبة في المسجد
0 لماذا يقال : ( أضحك الله سنك ) ؟.
