الملاحظات

الرئيسيةدخولبحـثس .و .جالتسجيلمكتبة الصور
المواضيع الأخيرةgoweto_bilobedجامعة المدينة العالمية وانتشارها عالمياالخميس يونيو 25, 2015 9:23 am من طرفصلاح الدين المحمديgoweto_bilobedالمكتبة الرقمية في جامعة المدينة العالمية MEDIU في ماليزياالخميس يونيو 25, 2015 9:22 am من طرفصلاح الدين المحمديgoweto_bilobedكلية العلوم الاسلامية في جامعة المدينة العالمية - ماليزياالخميس يونيو 25, 2015 9:22 am من طرفصلاح الدين المحمديgoweto_bilobedمعهد تعليم اللغة العربية لغير الناطقين بها - جامعة المدينة العالمية MEDIU في ماليزياالخميس يونيو 25, 2015 9:21 am من طرفصلاح الدين المحمديgoweto_bilobedمجلة جامعة المدينة العالمية MEDIUالخميس يونيو 25, 2015 9:20 am من طرفصلاح الدين المحمديgoweto_bilobedتعريف بجامعة المدينة العالمية في ماليزيا MEDIUالخميس يونيو 25, 2015 9:19 am من طرفصلاح الدين المحمديgoweto_bilobedمركز اللغات في جامعة المدينة العالمية في ماليزيا MEDIUالخميس يونيو 25, 2015 9:18 am من طرفصلاح الدين المحمديgoweto_bilobedوكالة البحوث والتطوير في جامعة المدينة العالمية MEDIU في ماليزياالخميس يونيو 25, 2015 9:17 am من طرفصلاح الدين المحمديgoweto_bilobedعمادة الدراسات العليا في جامعة المدينة العالمية MEDIU في ماليزياالخميس يونيو 25, 2015 9:15 am من طرفصلاح الدين المحمديgoweto_bilobedكلية العلوم المالية والإدارية في جامعة المدينة العالمية MEDIU في ماليزياالخميس يونيو 25, 2015 9:14 am من طرفصلاح الدين المحمدي

مَرحباً بكُم في شبكة أمان الجزائر | المنتدى الأول للحماية المعلوماتية في الجزائر ، نحن هنا لنفيدكم ونحميكم ،،، لنعطيكم ونعلمكم ولا نريد مقابل ذلك إلا "إحترامكم وتقديركم"
أهلا وسهلا بك زائرنا الكريم، إذا كانت هذه زيارتك الأولى للمنتدى، فيرجى التكرم بزيارة صفحة التعليمـــات، بالضغط هنا.كما يشرفنا أن تقوم بالتسجيل بالضغط هنا إذا رغبت بالمشاركة في المنتدى، أما إذا رغبت بقراءة المواضيع والإطلاع فتفضل بزيارة القسم الذي ترغب أدناه.




أمان الجزائر | Dz Security :: أمن المعلومات :: قسم اختبار اختراق الأجهزة و الحماية

شاطر
الجمعة يونيو 15, 2012 8:31 pm
المشاركة رقم:
المعلومات
الكاتب:
اللقب:
  المشرف العام
الرتبه:
   المشرف  العام
الصورة الرمزية


البيانات
الجنس : ذكر
البلد : 1
العَمَــــــــــلْ : 5
هوايتي : 11
مزاجي : 23
الإنتساب الإنتساب : 03/06/2010
مشآرڪآتے مشآرڪآتے : 320
السٌّمعَة السٌّمعَة : 15
الْنِّقَاط الْنِّقَاط : 665
التوقيت

الإتصالات
الحالة:
وسائل الإتصال:


مُساهمةموضوع: [ الهياكل المتغطرسه .. خفايا وأسرار الأختراق المستهدف .. ] تمهيدي ،



[ الهياكل المتغطرسه .. خفايا وأسرار الأختراق المستهدف .. ] تمهيدي ،


##بسم الله الرحمن الرحيم##
السلآم عليكم جميعآ ورحمة الله وبركاته ..



تحيه طيبه لأعضائنا الكرآم في الديف بوينت نقطة تطوير ،،
ونأسف على التقصير .. فما تقصيرنا والله يمنعنا عن أحبتنا الكرآم .. وكلآ له محاسنه ,,

وكما علمنا رسول الله صلى الله عليه وسلم
لآ بارك الله في كاتم العلم ...


نبدأ من جديد
الهياكل المتغطرسه .. خفايا وأسرار الأختراق المستهدف ..
فالقليل منا يعلم تلك العلوم ولكن [ يجهلها ] ولا يعلم أسرارها ...

سوف آضع بكل بقعة خيط وسيم ــ ليكون بدآية المؤخره التي تأخرنا عليها كثيرآ وإلى اليوم ،ـ

أساسيات علوم الأستهداف ,,
سوف نشرحه على مرآحل وبداية الأبتدائيه أو التمهيديه ...



الأكتشاف العظيم لا يعلمه الكثيرين .. فقط هم متابعي هذه الانظمة الحساسه ,,
نتكلم عن ثغرة المتصفحات ,, 70% من مستخدمي الشبكة العنكبوتيه تستخدم متصف فايرفوكس ...
بعض الأخوه لآ يعجبهم الكلآم لأنهم لا يدرون ما فوائده وللأسف الشديد ...
نعطي مثال أو عدة أمثله عن فوائد ثغرة الفايرفوكس
عادة هي تكون أخطاء برمجيه دالة Array.reduceRight فعند ادخال قيمه
javascript كبيره إلى هذه الداله يحدث خلل يؤدي إلى التحكم الكامل
بالذاكره , مما يمكن من تشغيل أكواد ضاره على الجهاز المصاب, والجدير
بالذكر أن الثغره تتخطى حمايتا ASLR/DEP الموجوده في وندوز 7 مما يهدد
مستخدمي وندوز 7 بشكل كبير, طبعاً يتم تخطي الحمايه عن طريق إنشاء ROP عن
طريق ملف MSVCR71.dll المرفق في java ...
وخلاصة الكلآم .. عند متابعة الاحدآث بآولها نقوم بإستغلالها قبل فوات الأوان وترقيعها ..

هذه بعض الأخطاء البرمجيه التي يقوم الهكر بإستغلالها قبل ترقيعها ...

هنا




ثغرة
SQL وتستخدم في إستهداف الموآقع ...

مخاطر الثغره في الموآقع .. وفوائدها للقرصان ...
هذه الطريقة تمكن المخترق من الحصول على معلومات المسجلين بموقعك أو
معلومات أخرى وذلك بإعتماد على إيجاد ثغرات في جمل قواعد البيانات (SQL
Statements). وهي تعتبر من الأخطر و الأكثر شيوعاً. و نسبة كبيرة جدا من
المواقع تعاني من هذه المشكلة. لكي تتضح الفكرة سأشرح الطريقة بمثال.
تخيل لديك هذا الجدول في قواعد البيانات ،ـ
اقتباس :

TABLE
USER {ID, USERNAME, PASSWORD}
و المطور قام بعمل جملة الإستعلام التالية
اقتباس :

SELECT
ID, USERNAME, PASSWORD FROM USER WHERE USERNAME='x' AND PASSWROD='y
و كتب في الكود السطور التالية لتنفيذ عملية الدخول للموقع:
اقتباس :

string
sql = "SELECT ID, USERNAME, PASSWORD FROM USER WHERE USERNAME='"+userName+"' AND PASSWROD='"+password+"';
الآن بإمكاني الدخول في الموقع من دون أن يكون عندي إسم مستخدم و كلمة مرور. بكل سهولة سأمرر هذه القيمة anything’ OR ‘x’='x
بحيث تصبح جملة الإستعلام
اقتباس :

string
sql = "SELECT ID, USERNAME, PASSWORD FROM USER WHERE USERNAME='anything' OR 'x'='x' AND PASSWROD='anything' OR 'x'='x';





النظام سوف يدخلنا و السبب أن الجملة anything’ OR ‘x’='x سترجع القيمة “true” و true AND true هي true.
الآن المصيبه أيضاً أنه يمكن عمل أشياء قد لا تخطر على بالك مثل السطر التالي:
اقتباس :

string
sql = "SELECT
ID, USERNAME, PASSWORD FROM USER WHERE USERNAME='anything' OR 'x'='x'
AND PASSWROD='y'; INSERT INTO USERS ('USERNAME','PASSWORD') VALUES
('nawaf','mypass');--';



السطر السابق راح يضيف
مستخدم جديد في قاعدة البيانات. ممكن يتسائل أحدهم طيب كيف اجيب معلومات
الجدول و أسامي الحقول. الإجابة هناك طرق تمكنك من معرفتها ايضاً وهي سهلة.



هنا


فقط هي نظريه لا أكثر للتوضيح للأخوه ما هو الأستهداف وكيفية الوصول إليه ...




إستهداف ثغرات البفر اوفرفلو buffer overflow

نسمع بها كثيرآ لكن لا نطبقها ..
علمآ انها من أقوى الثغرات على الأطلاق على مر تاريخ الأستهداف ...

تلك الثغرآت تنقسم إلى أقسام وهي ...


الفيض هو الزياده عن تحمل الشيء او انك تزيد عن شي فوق المسموح ...

مثال
نصمم برنامج بلغه c++ سهل يقوم بعمله الضرب بين رقمين



البفر اوفر فلو عباره عن خطاء برمجي او نقص برمجي بالاصح يغفل عنه مصمم برنامج
يسمح لك هذا الخطاء او النقص البرمجي انك تعمل تحكم في الذاكره
عندما تدخل بيانات تفوق البفر الموجود في الذاكره مثل اعمليه الي قمنا بها في الاوفر فلو
لذلك سميت buffer overflow

مثال بسيط ...






هناك أخواني الكرام سأتوقف ونكمل النظريات قريبآ إن شاء الله
تمهيديات الأختراق المستهدف
فالحقيقه مهما شرحت ومهما أحضرت من نظريات من ثغرات وغيرها .. لن أنتهي لكثرتها ..
ولكن المصيبة الأعظم ..؟
من هم المتابعين لتلك [ الثغرات - ومن هم همهم الأستهداف - ومن هم يريدون أن يطوروا أنفسهم ولو قليل - فالمخفي أعظم والله أعلم ]

[ يتابع ]
تنسيق هذا العمل من قبل أخوكم :
[ حيلتي وسيرتي هي كلها لله وأتمنا أن أكون قد وفقت في شرحي ]










توقيع : SyStEm32





لا إله إلا أنت سبحانك كنت من الضالمين














الإشارات المرجعية
التعليق على الموضوع بواسطة الفيس بوك
الــرد الســـريـع
..


الذين يشاهدون محتوى الموضوع الآن : 20 ( الأعضاء 3 والزوار 17)



تعليمات المشاركة
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة





الساعة الآن.




12345678910111213141516171819202122232425262728
29303132333435363738394041424344454647484950515253545556
57585960616263646566676869707172737475767778798081828384
858687888990919293949596979899100101102103104105106107108109110111112

Rss

feed

atom

xml



إعلانات أمان الجزائر النصية
إعــــــــــلانإعــــــــــلانإعــــــــــلانإعــــــــــلان
إعــــــــــلانإعــــــــــلانإعــــــــــلانإعــــــــــلان
إعــــــــــلانإعــــــــــلانإعــــــــــلانإعــــــــــلان
إعــــــــــلانإعــــــــــلانإعــــــــــلانإعــــــــــلان
إعلانات أمان الجزائر
إعــــــــــلانإعــــــــــلانإعــــــــــلانإعــــــــــلان
Copyright © 2009-2013 Dz Security , Inc. All rights reserved