السيرفر الشخصي
1- ماهو السيرفر الشخصي (localhost) ؟
عبارة عن برنامج يقوم بتحويل جهازك الى سيرفر او خادم مصغر بحيث يسمح لك بتطبيق وتشغيل الاسكربتات المبرمجة بلغة php
وايضا يسمح لك بتنصيب تلك الاسكربتات وربطها بقاعدة بيانات خاصة داخل السرفر الشخصي ومن هنا ظهرت اهميته الكبرى
من حيث انه يساعد المبرمجين والمطورين ومكتشفي الثغرات في تصفح وفحص الاسكربتات بكل سهولة ويسر
2- بعض اللغات وكيفية التعرف عليها وفوائد اللغات المختلفة ؟
اللغة الاولى بعد لغة php هيا perl (البيرل) يتم التعرف عليها بمجرد رؤية السطر الاول تجد هذا الكود
#!/usr/bin/perl
وتجد الملفات المبرمجة بتلك اللغة بأمتداد pl
الغة الثانية من حيث القوة لغة Python (البايثون) عالجة الكثير من مشاكل التخطي في اغلب السيرفرات بعد منع الكثير من الدوال الخاصة بلغة
php وايضا عدم التصريح للتشغيل ملفات perl ويتم التعرف عليها من خلال السطر
#!/usr/bin/python
وتجد الملفات المبرمجة بتلك اللغة بأمتداد py
اللغة الرابعة وهي ruby (روبي) يكثر استخدام هذه اللغة في برمجة اسكربتات الثغرات ويتم التعرف عليها من السطر
#!/usr/bin/ruby
وتجد الملفات المبرمجة بتلك الغة بأمتداد rb
الغة الاخيرة معانا هي c (السي) طبعا تشتهر جميع الثغرات المكتوبة بهذه اللغة بخطورتها العالية وتشتهر هذه اللغة
في كتابة الوكلات او الاسكربتات الخاصة بسحب صلحيات المدير من السيرفر ويتم التعرف عليها من خلال تواجد سطر الاوامر
#include
وتجد الملفات المبرمجة بتلك اللغة بأمتداد c
3- اكسبلويت (Exploits) ؟
هي برامج تنفيذية تنفذ من خلال المتصفح . و لها عنوان
URL ، تقوم هذه الإكسبلويتات بعرض ملفات الموقع و تقوم بعضها بالدخول الى
السيرفر و التجول فيه ، كما توجد اكسبلويتات تقوم بشن هجوم على بورت معين
في السيرفر لعمل كراش له ، و هذا ما يسمى بـ Buffer Over Flow Exploits .
هناك أنواع من الإكسبلويت ، فمنها ال CGI Exploits أو ال CGI Bugs و منها
ال Unicodes Exploits و منها ال ، Buffer Over Flow Exploits ، و منها
ال PHP Exploits ،و منها الDOS Exploits و التي تقوم بعملية حجب الخدمة
للسيرفر إن وجد فيها الثغرة المطلوبة لهذا الهجوم و ان لم يكن على السيرفر
أي فايروول Fire Wall . و هناك بعض الإكسبلويتات المكتوبة بلغة السي و يكون
امتدادها (.c) .
هذه الإكسبلويتات بالذات تحتاج الى كومبايلر او برنامجا لترجمتها و تحويها
أي الاكسبلويت الى اكسبلويت تنفيذي عادي يستخدم من خلال المتصفح ، و لتحويل
الإكسبلويت المكتبو بلغة السي هذه الى برنامجا تنفيذيا ، نحتاج إما الى
نظام التشغيل لينوكس او يونكس ، او الى اي كومبايلر يعمل ضمن نظام التشغيل
ويندوز . أشهر هذه الكومبايلرات ( المترجمات أو المحولات ) برنامج اسمه
Borland C++ Compiler و هي تعمل تحت نظام التشغيل ويندوز كما ذكرنا سابقا.
ماهي الثغرات وما الفائدة منها ؟
الثغرات هي عبارة عن اخطاء من قبل المبرمج في احدى اكواد اللغة بحيث تسمح للمخترق الوصول الى معلومات حساسة على السيرفر
مثل اسم العضوية والباسورد الخاص بمدير الموقع انواع الثغرات كثيرة جدا ولاكن من اشهرها ثغرات sql بجميع انواعها
مثل injaction او blind راح يكون لها دروس ان شاء الله الثغرات وطرق اكتشافها واستغلالها
ماهو السيف مود (safe mode) ؟
هو احدى الخصائص التي تعيق عمل المخترق من حيث انها تقوم بمنع التنقل بحرية داخل السيرفر وايضا تمنع الكثير من
التطبيقات البرمجية التي يعتمد عليها apache لذالك نجد ان اكثر الشركات الكبرى لاتستخدم تلك الخاصية لتجنب
الاضرار بأسكربتات المواقع المستضيفة لديها
ماهو Open Basedir ؟
هيا ايضا خاصية داخل السيرفر تقوم بمنع بعض الدوال الخطيرة التي يمكن استخدمها من قبل المخترق للتنفيذ اوامر تضر بمصلحة مدير الموقع
من حيث التنقل داخل السيرفر او سحب المعلومات الحساسة التي من ضمنها ملفات قواعد البيانات
ماهو Magic_Quotes ؟
عباره عن خاصيه في البي اتش بي عند تفعيلها تقوم بأضافته Backslash على ‘ او ” او \
والفائده من هذا منع من مرور الرموز سليمه لكي يتجنب بعض انواع الثغرات #1605;ثل sql injection
ولاكن يوجد بعض المشاكل فيها عندما نرسل معلومات نريد ان لايتم تغيرها مثل You’re The Best
اذا كان مفعل بيتم طباعه التالي
You\'re The Best
واذا لم يكون مفعل بيتم طباعته هكذا
You're The Best
ماهو الكونفق او قاعده البيانات ( Config) ؟
هوا اسكربت يختلف اسمه من مصمم للاخر يستفاد منه في تكوين وربط قاعدة بيانات الاسكربت مثل vb او joomla