تذكرون Vbulletin ؟
زماااااااااااان عنه كان أول مدخل لي بالشغل
طبعا ظهر اليوم فيه ثغرة جديدة.
أول ظهوره بالمنتديات كان مليان ثغرات والأطفال مبسوطة عليه يحط صفحة بالموقع تم الدعس ويحط جواله وايميله لان ذاك الوقت ماكان فيه جرائم معلوماتية صارمة زي الحين
تبون تعرفون شلون يخترقونه؟
زماااااااااااان عنه كان أول مدخل لي بالشغل
طبعا ظهر اليوم فيه ثغرة جديدة.
أول ظهوره بالمنتديات كان مليان ثغرات والأطفال مبسوطة عليه يحط صفحة بالموقع تم الدعس ويحط جواله وايميله لان ذاك الوقت ماكان فيه جرائم معلوماتية صارمة زي الحين
تبون تعرفون شلون يخترقونه؟
فيه طريقة بالاحتيال (ماراح اسميها هندسة اجتماعية)
وهي عن طريق سرقة كلمة مرورك (يعني حرامي مسوي بطل) يخمن كلمة المرور للايميل(إذا انسرق ايميلك ضاع مستقبلك) الخاص بك وبعد مايسرقه يروح يدخل شركة الاستضافة الي فيها موقعك ويستعيد كلمة مرور الموقع ويدخل يسوي حفلة.
كيف عرف استضافتك؟
وهي عن طريق سرقة كلمة مرورك (يعني حرامي مسوي بطل) يخمن كلمة المرور للايميل(إذا انسرق ايميلك ضاع مستقبلك) الخاص بك وبعد مايسرقه يروح يدخل شركة الاستضافة الي فيها موقعك ويستعيد كلمة مرور الموقع ويدخل يسوي حفلة.
كيف عرف استضافتك؟
في النطاقات domains يوجد معلومات حساسة ومنها
DNS
IP
ومعلومات مالك النطاق
هذي كفيلة انها تعطيك معلومات عن الموقع وقد تكون مفيدة في حال ماكان تم تفعيل الخصوصية للنطاق وكان الموقع على استضافة مشتركة ليس على خادم مستقل
بناء عليها يوصل لشركة الاستضافة
DNS
IP
ومعلومات مالك النطاق
هذي كفيلة انها تعطيك معلومات عن الموقع وقد تكون مفيدة في حال ماكان تم تفعيل الخصوصية للنطاق وكان الموقع على استضافة مشتركة ليس على خادم مستقل
بناء عليها يوصل لشركة الاستضافة
طريقة أخرى هي ضعف في صلاحيات أحد المجلدات بالموقع
يكون عندك مجلد صلاحيته تسمح لغير مالك الموقع بالكتابة عليه
يقوم "البزر" مسوي حساب بشركة الاستضافة نفسها وبتكون أنت وهو على نفس السيرفر ويكتب على هذا المجلد وينفذه
أو يحفظ فيه ملف shell وينفذ هذا الملف
يكون عندك مجلد صلاحيته تسمح لغير مالك الموقع بالكتابة عليه
يقوم "البزر" مسوي حساب بشركة الاستضافة نفسها وبتكون أنت وهو على نفس السيرفر ويكتب على هذا المجلد وينفذه
أو يحفظ فيه ملف shell وينفذ هذا الملف
طريقة أخرى عن طريق SQL Injection الي هو حقن قواعد البيانات.
يكون فيه ثغرة بالموقع تسمح بحقن قاعدة البيانات، ولان صفحات الموقع في vBulletin كلها تجي من قاعدة البيانات كنماذج، تقدر تغير محتوى الصفحة الرئيسية بالثيم الخاص بالموقع وتكتب فيه اي شيء
يكون فيه ثغرة بالموقع تسمح بحقن قاعدة البيانات، ولان صفحات الموقع في vBulletin كلها تجي من قاعدة البيانات كنماذج، تقدر تغير محتوى الصفحة الرئيسية بالثيم الخاص بالموقع وتكتب فيه اي شيء
طريقة أخرى
قد يكون بالموقع خطا، في أحد ملفات الاعدادات الي فيه، تؤدي إلى كشف معلومات الدخول لقاعدة البيانات اسم المستخدم \ كلمة المرور \ اسم قاعدة البيانات \ العنوان \ المنفذ
من خلالها يقدر يعبي قاعدة البيانات بأي شيء براسه حتى لو حب يغير كلمات المرور للإدارة ويدخل الموقع
قد يكون بالموقع خطا، في أحد ملفات الاعدادات الي فيه، تؤدي إلى كشف معلومات الدخول لقاعدة البيانات اسم المستخدم \ كلمة المرور \ اسم قاعدة البيانات \ العنوان \ المنفذ
من خلالها يقدر يعبي قاعدة البيانات بأي شيء براسه حتى لو حب يغير كلمات المرور للإدارة ويدخل الموقع
طريقة أخرى
إرسال ملف ضار لمدير الموقع وهذا الملف يقرأ مدخلات لوحة المفاتيح ويحفظها في ملف معين ويرسلها دائما "للبزر" ويقوم هو يسلم كل شيء مكتوب لين يلاقي كلمة مرور ويستغلها
إرسال ملف ضار لمدير الموقع وهذا الملف يقرأ مدخلات لوحة المفاتيح ويحفظها في ملف معين ويرسلها دائما "للبزر" ويقوم هو يسلم كل شيء مكتوب لين يلاقي كلمة مرور ويستغلها
طريقة أخرى
تخمين كلمات المرور واسماء المستخدمين وتسمى Brute-Force Attack
وقد تنجح لو كان الموقع مايمنع محاولات تسجيل الدخول الخاطئة والمتكررة (لهذا السبب تشوف بعض المواقع يقول لك تبقى لك 3 محاولات) حتى يحمي حسابك
تخمين كلمات المرور واسماء المستخدمين وتسمى Brute-Force Attack
وقد تنجح لو كان الموقع مايمنع محاولات تسجيل الدخول الخاطئة والمتكررة (لهذا السبب تشوف بعض المواقع يقول لك تبقى لك 3 محاولات) حتى يحمي حسابك
كيف تتعامل مع هالفاضين؟
هذولا أطفال يسمون skids او script kids
راح يستخدمون الطرق المعروف عن طريق الأدوات المتاحة لهم يعني ماراح يصنعون شيء جديد، معرفتك بأساليبهم + تحديثك لنسخة موقعك = طرد لهم
استخدم كلمات مرور قوية
فعل طرق استعادة الحساب عن طريق رقم الجوال مثلا وايميل بديل
هذولا أطفال يسمون skids او script kids
راح يستخدمون الطرق المعروف عن طريق الأدوات المتاحة لهم يعني ماراح يصنعون شيء جديد، معرفتك بأساليبهم + تحديثك لنسخة موقعك = طرد لهم
استخدم كلمات مرور قوية
فعل طرق استعادة الحساب عن طريق رقم الجوال مثلا وايميل بديل
جاري تحميل الاقتراحات...