هذا الـ ثريد مقدمة عن أمن المواقع لشيء عاصرته:
منذ بداية الإنترنت وعالم الهكرز مخيف .. المستخدم العادي يتصوّر أن الهكر مبرمج وخبير بالشبكات والسيرفرات وداخل راسه أرقام ثنائية تنهال كالمطر .. والواقع أن سبب اختراقات تلك الفترة هو ضعف الحماية (أحيانًا الحماية معدومة)
منذ بداية الإنترنت وعالم الهكرز مخيف .. المستخدم العادي يتصوّر أن الهكر مبرمج وخبير بالشبكات والسيرفرات وداخل راسه أرقام ثنائية تنهال كالمطر .. والواقع أن سبب اختراقات تلك الفترة هو ضعف الحماية (أحيانًا الحماية معدومة)
وسنسلط الضوء على اختراق المواقع بعد 2001 .. طبعًا المواقع قبل عام 2001 كانت غالبا صفحات ثابتة (html) وهي صفحات يستحيل اختراقها لأن أوامرها تتم في جهازك لايوجد اتصال بالسيرفر ولا قواعد البيانات كصفحات php مثلا
والمضحك أن ذلك الوقت كان الاختراق أسهل لأنه لايحتاج منك سوى بعض الحروف تضيفها على رابط الموقع لتجد باسوورد لوحة التحكم الرئيسية بين يديك .. وهذا يعني أنك ستدخل مثل الآدمن على الموقع وتسوي اللي تبيه :) ومن ضعف الحماية كان وضع علامة (') مكان الباسوورد كفيل بالدخول على الموقع :)
وبعد الألفية بدأت المنتديات والمجلات والألبومات بالانتشار.. أكثر من 99% من المنتديات نوع فبيولتن (VB) (كانت مواقع التواصل الاجتماعي في ذلك الوقت) ولشهرة هذا النوع من المنتديات كان تحت نظر الهكرز ولاتمر سنة دون اكتشاف ثغرة أو أكثر فيها ثم تبدأ موجة الاختراقات بعد انتشار الاستغلال.
أول #ثغرات المنتديات كانت المرفقات (تسمح بتحميل ملفات php) + أكواد html التي تسمح بإدراج صفحة ملغمة تسرق #كوكيز الضحية، فكانت أغلب #المنتديات تغلق خاصية الـhtml وتمنع تحميل كثير من الامتدادات مثل rar الذي يسمح للـ #هكر برفع ملف php.rar وهذه حيلة أشرحها لاحقًا.
ومن طرق #اختراق المنتديات أيضًا ملف install تدخل على مسار التنصيب وتعيد تنصيب المنتدى من جديد وبذلك تصبح الآدمن (هذا في إصداره الأول والثاني) .. ثم جاء الإصدار الثالث ولكن مع الأسف بقيت الثغرة فيه للنسخ منزوعة الكود (نفس البرامج المكركة).
ثم انتشرت ثغرة الترقية في مسار upgrade تسمح لك بإنزال #قاعدة_البيانات كاملة على جهازك ثم الوصول إلى الأرقام السرية التي تكون مشفرة #md5 لكن هناك الكثير من المواقع تسمح لك بفك هذا #التشفير عن طريق التخمين وذلك قد يأخذ ساعات أو أيام.
وبعض المبرمجين كان يصمم برنامج تخمين على جهازه لفك تشفيرها .. وكنت مصمم برنامج بـالـ #فيجوال_بيسك لفك التشفير لأني لا أثق في برامج #الهكرز المجانية :)
الشركة ضاقت ذرعًا بالمخترقين لكثرة الثغرات التي تصل إلى الرقم السري فأضافوا شيئًا اسموه (salt) رشّة ملح على الـ #باسوورد لزيادة التعقيد :) وهذا حصل في الإصدار 3.5 ومابعده .. لكن رشة الملح لم تكن كافية :)
هناك الكثير من المواقع العملاقة بدأت بتقديم خدمة فك #التشفير مثل موقع cmd5 الصيني .. وهناك مجموعة من الهكرز قدموا برامج رائعة وسريعة لفك التشفير وبعضهم عرب محترمين مثل برنامج المهاجر22 في #ترياق_العرب وهو من أفضل مارأيت :)
هذا بالنسبة للمنتديات أما المجلات فأشهر مجلة كانت مجلة nuke ولاقت انتشارًا لأن المصميين كانوا يصنعون لها ستايلات .. لكن لكثرة ثغراتها وخطورتها هجرها أصحاب المواقع .. جميع ثغراتها حقن sql
ومثلها ألبومات الصور .. كان فيها ثغرات حقن sql وثغرة المنتديات القديمة وهي رفع ملف php بصيغة rar .. وهذه الطريقة كانت فعالة إلى 2008 تقريبًا ومصابة فيها كثير من الألبومات ومراكز التحميل < أغبى شي تسويه تحط مركز تحميل ع موقعك.
الزبدة .. هذه مقدمة عن حال الأمان في مواقع الإنترنت للعقد الماضي .. لعلنا نتفرغ للحديث عن الأمان لحقبة 2010 - 2020 في وقت لاحق :)
جاري تحميل الاقتراحات...