43

تحذير و نصيحة للمبرمجين اثناء رفع الموقع

  • ahmadmarafa

السلام عليكم

عادة نقوم نحن معشر المبرمجين بعد الانتهاء من تطوير الموقع

بضغط ملفاتة , ونقوم بأعطائها إسم , وعادة , يكون الإسم أقرب الشبهه لدومين الموقع

أو قد يكون الإسم اقرب إلى إسم الفولدر المتواجد عليه الموقع

مثلاُ قد يكون إسم الموقع

http://something.com

فيكون إسم الملف المضغوط

http://something.com

/something.zip

او

http://something.com

/beta فيكون إسم الملف

http://something.com

/beta.zip

وهذا الامر , يمكن اي شخص تقريباُ من تحميل سورس كود الموقع وقراءة مابه

وهذا كارثة !

, صدق او لاتصدق , جربت اكثر من مرة , وتقريباُ تم تحميل الملف بنسبة 60% من محاولاتي

أهتموا بتلك التفصيلة الصغيرة , وعند رفع الموقع تاكدوا اما ان تمسحوا الملف المضغوط , او تغيروا إسمة

قد تكون صيغة الملف zip , tar.gz أو اي صغية ضغط اخرى

خالص ودي

يرجى الدخول لحسابك أو تسجيل حساب لتستطيع إضافة تعليق
حساب جديد دخول

التعليقات

بما أنك ذكرت الأمر، هناك أخطر من ذلك، عند التعديل على الملفات خاصة في ليونكس كثير من ال Editors تقول بحفظ ملف إحتياطي في حال قمت بالتعديل على الملف و لم تقم بحفظه.

مثلا

config.php يصبح config.php~ و بما أن الإمتداد ليس PHP فسيتم قراءة الملف كملف نصي و يمكن للمخترق أن يقوم بالدخول إليه من خلال المتصفح...

صراحة يزعجني ال Editor الإفتراضي لأوبونتو عندما يقوم بعمل ذلك لأي ملف، تاركا ملفا إضافيا وسط ملفاتك...

هذه خاصية (ميزة) يمكن تعطيلها في التفضيلات من المحرر. لم أعد أستخدم Gedit لكن أعتقد أنه يجب أن يتم تحسينها لتكون مثل swap files في VIM.

بالنسبة لي، وجدت ما هو أكثر خطورة وإزعاجاً! بعض الأخطاء تُسجل في ملف error_log ويمكن قراءته بسهولة! جرّبت ذات مرة البحث في جوجل عن خطأ معين وأتاني العزيز جوجل بنتائج بحث داخل ملفات error_log للعديد من المواقع...تجولت داخلهم ومن السهل جداً إخراج الأخطاء واستغلالها لصالح المهاجم.

هذه وجدتها عندما بحث عن خطاء في موقعي ظهرت لي سجلات باقي المواقع و منها مايعتبر مشهور .

بالنسب لي اغلب الوقات اضع ملفاتي في مجلد باسم عشوائي + حظر الوصول اليه عبر الايبي .

صحيح، وهنالك الكثير من الأخطاء التي هي بسيطة ولكن مفعلها خطير مثلاً التي صرحت بها.