السلام عليكم
عادة نقوم نحن معشر المبرمجين بعد الانتهاء من تطوير الموقع
بضغط ملفاتة , ونقوم بأعطائها إسم , وعادة , يكون الإسم أقرب الشبهه لدومين الموقع
أو قد يكون الإسم اقرب إلى إسم الفولدر المتواجد عليه الموقع
مثلاُ قد يكون إسم الموقع
http://something.comفيكون إسم الملف المضغوط
http://something.com/something.zip
او
http://something.com/beta فيكون إسم الملف
http://something.com/beta.zip
وهذا الامر , يمكن اي شخص تقريباُ من تحميل سورس كود الموقع وقراءة مابه
وهذا كارثة !
, صدق او لاتصدق , جربت اكثر من مرة , وتقريباُ تم تحميل الملف بنسبة 60% من محاولاتي
أهتموا بتلك التفصيلة الصغيرة , وعند رفع الموقع تاكدوا اما ان تمسحوا الملف المضغوط , او تغيروا إسمة
قد تكون صيغة الملف zip , tar.gz أو اي صغية ضغط اخرى
خالص ودي
التعليقات
بما أنك ذكرت الأمر، هناك أخطر من ذلك، عند التعديل على الملفات خاصة في ليونكس كثير من ال Editors تقول بحفظ ملف إحتياطي في حال قمت بالتعديل على الملف و لم تقم بحفظه.
مثلا
config.php يصبح config.php~ و بما أن الإمتداد ليس PHP فسيتم قراءة الملف كملف نصي و يمكن للمخترق أن يقوم بالدخول إليه من خلال المتصفح...
صراحة يزعجني ال Editor الإفتراضي لأوبونتو عندما يقوم بعمل ذلك لأي ملف، تاركا ملفا إضافيا وسط ملفاتك...
بالنسبة لي، وجدت ما هو أكثر خطورة وإزعاجاً! بعض الأخطاء تُسجل في ملف error_log ويمكن قراءته بسهولة! جرّبت ذات مرة البحث في جوجل عن خطأ معين وأتاني العزيز جوجل بنتائج بحث داخل ملفات error_log للعديد من المواقع...تجولت داخلهم ومن السهل جداً إخراج الأخطاء واستغلالها لصالح المهاجم.