الجمعة يونيو 15, 2012 8:31 pm | المشاركة رقم: |
المعلومات | الكاتب: | | اللقب: | المشرف العام | الرتبه: | | الصورة الرمزية | |
الإتصالات | الحالة: | | وسائل الإتصال: | |
| موضوع: [ الهياكل المتغطرسه .. خفايا وأسرار الأختراق المستهدف .. ] تمهيدي ،
[ الهياكل المتغطرسه .. خفايا وأسرار الأختراق المستهدف .. ] تمهيدي ، ##بسم الله الرحمن الرحيم## السلآم عليكم جميعآ ورحمة الله وبركاته ..
تحيه طيبه لأعضائنا الكرآم في الديف بوينت نقطة تطوير ،، ونأسف على التقصير .. فما تقصيرنا والله يمنعنا عن أحبتنا الكرآم .. وكلآ له محاسنه ,,
وكما علمنا رسول الله صلى الله عليه وسلم لآ بارك الله في كاتم العلم ...
نبدأ من جديد الهياكل المتغطرسه .. خفايا وأسرار الأختراق المستهدف .. فالقليل منا يعلم تلك العلوم ولكن [ يجهلها ] ولا يعلم أسرارها ...
سوف آضع بكل بقعة خيط وسيم ــ ليكون بدآية المؤخره التي تأخرنا عليها كثيرآ وإلى اليوم ،ـ
أساسيات علوم الأستهداف ,, سوف نشرحه على مرآحل وبداية الأبتدائيه أو التمهيديه ...
الأكتشاف العظيم لا يعلمه الكثيرين .. فقط هم متابعي هذه الانظمة الحساسه ,, نتكلم عن ثغرة المتصفحات ,, 70% من مستخدمي الشبكة العنكبوتيه تستخدم متصف فايرفوكس ... بعض الأخوه لآ يعجبهم الكلآم لأنهم لا يدرون ما فوائده وللأسف الشديد ... نعطي مثال أو عدة أمثله عن فوائد ثغرة الفايرفوكس عادة هي تكون أخطاء برمجيه دالة Array.reduceRight فعند ادخال قيمه javascript كبيره إلى هذه الداله يحدث خلل يؤدي إلى التحكم الكامل بالذاكره , مما يمكن من تشغيل أكواد ضاره على الجهاز المصاب, والجدير بالذكر أن الثغره تتخطى حمايتا ASLR/DEP الموجوده في وندوز 7 مما يهدد مستخدمي وندوز 7 بشكل كبير, طبعاً يتم تخطي الحمايه عن طريق إنشاء ROP عن طريق ملف MSVCR71.dll المرفق في java ... وخلاصة الكلآم .. عند متابعة الاحدآث بآولها نقوم بإستغلالها قبل فوات الأوان وترقيعها ..
هذه بعض الأخطاء البرمجيه التي يقوم الهكر بإستغلالها قبل ترقيعها ...
هنا
ثغرة SQL وتستخدم في إستهداف الموآقع ...
مخاطر الثغره في الموآقع .. وفوائدها للقرصان ... هذه الطريقة تمكن المخترق من الحصول على معلومات المسجلين بموقعك أو معلومات أخرى وذلك بإعتماد على إيجاد ثغرات في جمل قواعد البيانات (SQL Statements). وهي تعتبر من الأخطر و الأكثر شيوعاً. و نسبة كبيرة جدا من المواقع تعاني من هذه المشكلة. لكي تتضح الفكرة سأشرح الطريقة بمثال. تخيل لديك هذا الجدول في قواعد البيانات ،ـ - اقتباس :
TABLE USER {ID, USERNAME, PASSWORD} و المطور قام بعمل جملة الإستعلام التالية - اقتباس :
SELECT ID, USERNAME, PASSWORD FROM USER WHERE USERNAME='x' AND PASSWROD='y و كتب في الكود السطور التالية لتنفيذ عملية الدخول للموقع: - اقتباس :
string sql = "SELECT ID, USERNAME, PASSWORD FROM USER WHERE USERNAME='"+userName+"' AND PASSWROD='"+password+"'; الآن بإمكاني الدخول في الموقع من دون أن يكون عندي إسم مستخدم و كلمة مرور. بكل سهولة سأمرر هذه القيمة anything’ OR ‘x’='x بحيث تصبح جملة الإستعلام - اقتباس :
string sql = "SELECT ID, USERNAME, PASSWORD FROM USER WHERE USERNAME='anything' OR 'x'='x' AND PASSWROD='anything' OR 'x'='x';
النظام سوف يدخلنا و السبب أن الجملة anything’ OR ‘x’='x سترجع القيمة “true” و true AND true هي true.الآن المصيبه أيضاً أنه يمكن عمل أشياء قد لا تخطر على بالك مثل السطر التالي: - اقتباس :
string sql = "SELECT ID, USERNAME, PASSWORD FROM USER WHERE USERNAME='anything' OR 'x'='x' AND PASSWROD='y'; INSERT INTO USERS ('USERNAME','PASSWORD') VALUES ('nawaf','mypass');--';
السطر السابق راح يضيف مستخدم جديد في قاعدة البيانات. ممكن يتسائل أحدهم طيب كيف اجيب معلومات الجدول و أسامي الحقول. الإجابة هناك طرق تمكنك من معرفتها ايضاً وهي سهلة.
هنا
فقط هي نظريه لا أكثر للتوضيح للأخوه ما هو الأستهداف وكيفية الوصول إليه ...
إستهداف ثغرات البفر اوفرفلو buffer overflow نسمع بها كثيرآ لكن لا نطبقها .. علمآ انها من أقوى الثغرات على الأطلاق على مر تاريخ الأستهداف ...
تلك الثغرآت تنقسم إلى أقسام وهي ...
الفيض هو الزياده عن تحمل الشيء او انك تزيد عن شي فوق المسموح ...
مثال نصمم برنامج بلغه c++ سهل يقوم بعمله الضرب بين رقمين
البفر اوفر فلو عباره عن خطاء برمجي او نقص برمجي بالاصح يغفل عنه مصمم برنامج يسمح لك هذا الخطاء او النقص البرمجي انك تعمل تحكم في الذاكره عندما تدخل بيانات تفوق البفر الموجود في الذاكره مثل اعمليه الي قمنا بها في الاوفر فلو لذلك سميت buffer overflow
مثال بسيط ...
هناك أخواني الكرام سأتوقف ونكمل النظريات قريبآ إن شاء الله تمهيديات الأختراق المستهدف فالحقيقه مهما شرحت ومهما أحضرت من نظريات من ثغرات وغيرها .. لن أنتهي لكثرتها .. ولكن المصيبة الأعظم ..؟ من هم المتابعين لتلك [ الثغرات - ومن هم همهم الأستهداف - ومن هم يريدون أن يطوروا أنفسهم ولو قليل - فالمخفي أعظم والله أعلم ]
[ يتابع ] تنسيق هذا العمل من قبل أخوكم : [ حيلتي وسيرتي هي كلها لله وأتمنا أن أكون قد وفقت في شرحي ]
|
| |