كود HTML بسيط يحمي موقعك من برامج استغلال ثغرة SQL Injection !!
عنوان الموضع !! مثير للجدل لكن هذا ما ابتكرتة من خلال بحثي في آلية عمل برامج حقن قواعد البيانات SQL Injection عام 2011
يتم وضع هذا الكود في اول سطر في الموقع !! .. الغريب ايضا ان هذا الكود هو
<!-- ~'mr.AmRaLaA'~ -->
HTML Comment يحمي موقعك من ثغرة خطيرة مثل تغرة SQL Injection .. الشئ الطبيعي انك تقول الان ان هذا مبرمج مجنون ويستقل بعقول الناس وهذا ما حدث فعلا وتعرضت لنقد غير منطقي وغير مبرر بالمرة بمجرد مشاهدة الناس لهذا الكود نزل علي كم هائل من النقد غير المحترم لمجرد ان بعض الناس خبرتهم محدودة والبعض الاخر لا يريد التجربة
شرح الفكرة والكود
الفكرة كلها عبارة عن تضليل لبرامج الحقن SQL Injection بحسب خبرتي كمبرمج اعلم ان برامج الحقن عبارة عن software له قواعد واساسيات يعمل بها ولا يخالفها وليس انسان له عقل يفكر ويبحث بدقة
قمت بعمل سكربت بسيط به ثغرة SQL Injection
استخدمت برنامج (Havij) الشهير في حقن السكربت
نجح الحقن :) .. ولاكن ليس بهذة السهولة فقد كنت اتتبع عمليات الحقن وهذة الصورة تبين عمليات حقن البرنامج للسكربت (
وايضا كنت اتتبع النتائج التي يخرجها السكربت اثناء عمليات الحقن :)
وجدت ان البرنامج يحصل علي اسم قاعدة البيانات من خلال الحقن بهذة الطريقة ~Database~
طبعا البرنامج بيبحث في الصفحة عن اول كلمة تقع بين هذة العلامات ~ ~ ومن ثم يبدأ في استعلاماتة واستخراج النتائج من قاعدة البيانات
وبوضع <!-- ~'mr.AmRaLaA'~ --> في اول سطر في الموقع سوف يعتبر البرنامج ان اسم قاعدة البيانات AmrAlaa وهذا غير صحيح فهو شئ وهمي :D
وهذا مثال لتضليل الذي حدث للبرنامج بعد وضع هذا الكود (
)
وبهذة الفكرة البسيطة التي ابتكرتها اصبح لا قيمة لبرامج الحقن :D
وهذا هو الموضوع الذي نشرتة في traidnt.net يوم 07 - 10 - 2011 (
http://www.traidnt.net/vb/t...)
فهل استحق كمية النقد الغير محترم والغير مبرر الذي انهال علي بسبب بحثي في مجال الحماية والتطوير فية ؟!!
التعليقات