#ثريد يعلمك كيف
تساعد الهكر على إختراق نظامك😌
وذلك عبر إتباع الأساليب
الأتية عند برمجتك لشئ ما!😎
@PrograminLovers
#Programinglovers
تساعد الهكر على إختراق نظامك😌
وذلك عبر إتباع الأساليب
الأتية عند برمجتك لشئ ما!😎
@PrograminLovers
#Programinglovers
1️⃣ ساعد الهاكر على تخمين البيانات الصحيحة!
وذلك عبر إعطاء اخطاء مفصلة في مراحل المصادقة وغيرها مثل كلمة المرور خطأ، البريد خطأ، العضو غير مسجل..الخ عوضآ عن الرجوع بخطأ مثل بيانات الدخول خاطئة دون ذكر السبب الحقيقي.
وذلك عبر إعطاء اخطاء مفصلة في مراحل المصادقة وغيرها مثل كلمة المرور خطأ، البريد خطأ، العضو غير مسجل..الخ عوضآ عن الرجوع بخطأ مثل بيانات الدخول خاطئة دون ذكر السبب الحقيقي.
2️⃣خليك Nice 😎 ومتعملش Validation لقيمة المتغيرات!
وبذلك الهاكر هيكون سهل عليه يهاجمك بـ SQL Injection او File Inclusion
وبذلك الهاكر هيكون سهل عليه يهاجمك بـ SQL Injection او File Inclusion
3️⃣ استخدم دوال 😉 file_size, is_dir, is_file كتير أوي!
وبذلك هتساعد الهاكر على اختراق خادمك بالكامل عبر ثغرات Object Injection حتى لو عملت Validation للملف🤧، لأن انا لو مكان الهاكر، هحقن صورة بـ كود يتعمله Execution في الميموري ويفتحلي SSH كامل الصلاحيات على خادمك.
وبذلك هتساعد الهاكر على اختراق خادمك بالكامل عبر ثغرات Object Injection حتى لو عملت Validation للملف🤧، لأن انا لو مكان الهاكر، هحقن صورة بـ كود يتعمله Execution في الميموري ويفتحلي SSH كامل الصلاحيات على خادمك.
4️⃣ خليك كسول 🥱 واستخدم eval او exec!
الهاكر بيحب جدآ الناس دي، دالة eval هتساعدو جدآ في إنه يعمل Deployment لـ شيل بصلاحيات root على موقعك ومن خلاله يقدر يهكر المواقع الي عالسيرفر كلها وياسلام بقى لو في منهم مواقع مش مشفرة بيانات مستخدميها.
الهاكر بيحب جدآ الناس دي، دالة eval هتساعدو جدآ في إنه يعمل Deployment لـ شيل بصلاحيات root على موقعك ومن خلاله يقدر يهكر المواقع الي عالسيرفر كلها وياسلام بقى لو في منهم مواقع مش مشفرة بيانات مستخدميها.
5️⃣ متستخدمش 😌 CSRF Tokens
وبذلك انت هتساعدو انو يعمل Cross Attacks على موقعك بكل سهولة!
وبذلك انت هتساعدو انو يعمل Cross Attacks على موقعك بكل سهولة!
6️⃣ اعمل Validation في الـ JS بس😝!
وعليه، انت هتساعدو جدآ يهاك السيستم بتاعك فقط من خلال HTML!
وعليه، انت هتساعدو جدآ يهاك السيستم بتاعك فقط من خلال HTML!
7️⃣ متعملش Validation لكل يوزر عند تحديث بياناته😇.
يعني لو حضرتك جينتل، وبتعمل تحديث لبيانات عضو مثلا في نود معين بحيث انو يحدث بيانات العضو عبر الـ id المرسل، فأنت جميل جدآ، لان بذلك الهاكر مش هيواجه اي صعوبة في تغيير الـ id دة لمعرف عضو تاني وتغيير كلمة مروره،
يعني لو حضرتك جينتل، وبتعمل تحديث لبيانات عضو مثلا في نود معين بحيث انو يحدث بيانات العضو عبر الـ id المرسل، فأنت جميل جدآ، لان بذلك الهاكر مش هيواجه اي صعوبة في تغيير الـ id دة لمعرف عضو تاني وتغيير كلمة مروره،
✅من أجل تجاوز هذه المشكلة ؟ ممكن تتأكد أن الـ id المرسل هو فعلا id اليوزر الي مسجل
دخوله.
دخوله.
8️⃣ سيب الباسوردات دون تشفير في قاعدة البيانات🙄.
في هذه الحالة انت جميل خالص، لأن ممكن موقع مستضاف على نفس السيرفر يرفع Shell على موقعه ويعمل Dump للداتا بتاعتك كلها!
في هذه الحالة انت جميل خالص، لأن ممكن موقع مستضاف على نفس السيرفر يرفع Shell على موقعه ويعمل Dump للداتا بتاعتك كلها!
دي شوية نصايح سريعة، فهل هتكون لطيف وتساعد الهاكر؟🙃
جاري تحميل الاقتراحات...