htaccess و php.ini بين الحماية والخطر

omdeapes · #1 05-17-2009, 01:40 AM

بسم الله الرحمن الرحيم

كلنا سمعنا أو تعاملنا مع ملفات htaccess ولكن ما وصل إلينا من معرفة قليل جداً عن فوائد هذه الملفات، وسوف أحرص من خلال هذه السلسلة على توفير أكبر قدر ممكن لأهم فوائد هذه الملفات، التي تتعدى الحماية كما هو معروف لدينا بل تساعدك في توفير ما
تشاء في موقعك من خلال كتابة بعض الأوامر البسيطة، و بذلك يكون استخدامك لها بشكل
صحيح و دراية كاملة .

ماهي هذه الملفات؟

إن لفظ "ملف" مبالغ به في وصفها؛ لأنها لا تحتوي على امتداد حتى نصفها به بل هي بكل
بساطة htaccess، وتكون هذه الملفات مخفية و لا يمكن عرض محتواها مباشرة في الموقع، ولكن تستطيع مشاهدها من خلال لوحة التحكم الخاصة بالموقع عن طريق مدير الملفات أو من خلال برامج FTP

إنشاء htaccess

لكي تنشئ htaccess :

افتح أي محرر نصوص ولتكن المفكرة، و أنشئ ملف باسم htaccess.txt
الآن قم بحذف txt. من نهاية اسم الملف، وبهذا تم عمل htaccess
تحتاج إلى أن تضيف نقطة في البداية، ليصبح:

كود:

.htaccess

قد يصعب عليك ذلك في جهازك، لذلك ارفع الملف إلى موقعك وغير اسمه باستخدام FTP أو باستخدام لوحة التحكم الخاصة بذلك .
ملفات htaccess يجب أن ترسل إلى موقعك (ترفع) كنمط آسكي ASCII ، ليس ثنائي BINARY .
قد تحتاج إلى ترخيص (تصريح) CHMOD 644 ، وفائدة هذا الترخيص هي جعل الملف
صالح للاستخدام في الخادم فقط فلا يمكن عرضه من قبل الزائر أو تعديل محتواه، وفي الغالب
أكثر من يستخدم htaccess يتجاهل هذا الترخيص، و قد يشكل خطراً على الموقع إذا كان
يحتوي على أرقام سرية مشفرة يمكن كسرها .
فوائد htaccess، وطريقة استخدامه

إذاً فما نعرفه عن هذه الملفات هو أنها توفر الحماية لمجلدات موقعك إما بمنع الوصول أو تعطيل بعض الخواص.
يجب ان تعرف أن ملفات htaccess مفيدة جداً في تطبيقات الصفحات والتى لن نتطرق لها لضيق الوقت سامحونى فأنا فى غاية الانشغال

ولكن لنا هنا وقفه
نعلم جميعا ان من الداء يأتى الدواء
وان خطوة واحدة فى طريق تضليل المخترق تحميك من الف مخترق
نأتى هنا الى طرق استغلال الملف, طبعا لن نكشفها ولكنها معروفة للجميع حفاظا على امن
المواقع الاسلاميه ومواقع العرب جميعا
أولا من المهم لنا ان نعرف كيف يستغل المخترق هذا الملف لصالحة لكى يتخطى حماية الخادم
يقوم المخترق وهو شخص له خبره ودرايه بأنظمة عمل الخوادم فى غالب الاحيان
ويقوم هذا الشخص بتحليل أنظمة التشغيل لكى يستخرج ثغراتها وكيفية استغلالها
وهذا هو ما يسمى بالهندسة العكسية. (سيتم وضع موضوع خاص بها )
فى معظم الخوادم يكون الخادم مستضيف لأكثر من موقع على نفس الخادم او المستضيف
يقوم الخادم بالطبع بعمل حماية لنفسه عن طريق تعطيل دوال يمكن استغلالها
و تفعيل الوضع الامن على السيرفر الذى يمنع اى مستخدم من استخدام ملفات مستخدم اخر
ولكن تحتاج بعض المواقع الى اعدادات خاصة بها ربما تحتاج الى حماية اكثر وتعطيل دوال
او تفعيل دوال وتقليل الحماية ويتحمل صاحب الموقع عاتق هذه الاعدادات
المهم
ومن خلال هذه المسأله نتجت ثغرة خطيرة يمكن استغلالها اذا حصل على امكانيه الكتابة على بعض الملفات الهامة فى الموقع مثل ملفات الهاتكس (.htaccess)
وخطوتنا اليوم اليوم هى خداع الهاكر بحيث انه يأخذ انطباع اولى عن الموقع انه مأمن تماما
بحيث اننا نقوم بوضع نفس الملفات التى يزرعها المخترق لكى يتخطى الحمايه ولكن نغير محتواها بحيث يتلائم مع الموقع و من اجل تأكيد الحماية على الموقع حتى ولو لم يكن الخادم
مؤمن بشكل كافى بالنسبة لك وحسب حمايتك التى تراها
والملفات التى سنحتاجها هى :
1 - ملف بي اتش بي دوت اينى (php.in) ملف اعدادات
2 - ملف الهاتكس (.htaccess) وهو الذى تحدثنا عنه اعلاه
اولا محتوى ملف الاعدادات php.ini

كود:

safe_mode = On
disable_functions = copy,error_log,tempnam, copy, symlink, curl_init,posix_setuid escapeshellarg, hell-exec, fpassthru, exec, crack_checkcrack_closedict, crack_getlastmessage, crack_opendict, psockopen,php_ini_scanned_files, php_uname, phpinfo, dl, exec, shell_exec,system, passthru, popen, pclose, proc_open,proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid,escapeshellcmd, escapeshellarg,Ini_Restore, phpinfo,SQL,id,CURL,copy,ini_restore,imap ,plugin ,posix_getpwuid

الجملة الاولى وهى : safe_mode = On
وهو أمر يقوم به الخادم وهو تفعيل خاصية الوضع الامنالجملة الثانيه وهى : disable_functions
وهو أمر لتعطيل بعض الدوال الخطرة على السيرفر و المكتوب بها هو افضل اعدادات لها
هذا هو الملف الأول وانتهينا منه والحمد لله
نقوم بوضع ملف على السيرفر لتشغيل هذا الملف على الخادم وهو ملف الهاتكس (.htaccess)
نقوم بانشاء ملف جديد بأسم

كود:

.htaccess

ونقوم بوضع الكود التالى بداخله

كود:

suPHP_ConfigPath /home/user/public_html/php.ini

وهو امر اضافة هذا السطر الى ملف : usr/local/apache/conf/php.conf
وهو يقوم باضافة تعليمات اعدادات ملف php.ini الخاص بنا فى اعدادات السيرفر
قمت بارفاق الملفات المطلوب رفعها فى مجلد public_html والمبينه اعلاه
وتكون هذه هى خطوة فى طريق تضليل المخترق وهدم عزيمته
انتظر تعليقاتكم وردودكم لا تبخلوا علينا بخبراتكم فربما تكون فى ميزان حسناتك يوم الدين

واسف مرة اخري عن انقطاعى

TqaSiM 3aSheq · 05-17-2009, 01:32 PM

الله يعطيك العافيه يابطل ع الشرح الاكثر من رائع

صراحتاً مواضيعك .. في غاية الروعه وانا آحد متابعينها َ

آتمنى لك التوفيق وبـ آنتضار تميزك الجديد ..

تحيتي لك / تقاسيم عاشق

omdeapes · 05-18-2009, 12:48 AM

السلام عليكم ورحمة الله وبركاته

شكرا جدا اخى العزيز TqaSiM 3aSheq على ردك الجميل

وان شاء الله يكون فى جديد دايما

ونعدكم بالمزيد ولكن سامحنى على غيابي فأنا مشغول للغاية

أكرر شكري على مرورك

menhnak · 05-19-2009, 03:56 PM

شرح كافي وافي ومعلومات اكثر من رائعة

الله يجزيك خير

بارك الله فيك

omdeapes · 05-20-2009, 04:00 AM

السلام عليكم ورحمة الله وبركاته

شكرا اخى العزيز menhnak

بالتوفيق للجميع ان شاء الله

Mr.FaHaD · 05-21-2009, 08:14 PM

يا سلام عليك

تسلم اخوي على الشررح الطيب

omdeapes · 05-23-2009, 08:41 AM

السلام عليكم ورحمة الله وبركاته

شكرا جزيلا اخى مستر فهد على ردك

انتظر منك كل افادة ان شاء الله وياليت لو نتعاون فى حماية الامه العربيه جميعا

من خلال تقديم ادق خدمات الويب المتقدمة الى اخواننا العرب

وأخوى احمد ياريت تشرفنا فى الموضوع الموضوع ينقص خبراتك

05-17-2009, 01:32 PM	#2
TqaSiM 3aSheq :: عضو جديد :: تاريخ التسجيل: May 2009 المشاركات: 5 التقييم: 50	الله يعطيك العافيه يابطل ع الشرح الاكثر من رائع صراحتاً مواضيعك .. في غاية الروعه وانا آحد متابعينها َ آتمنى لك التوفيق وبـ آنتضار تميزك الجديد .. تحيتي لك / تقاسيم عاشق التوقيع .: تقآسيمُ عآشقَ :. .: لآخير في كآتم آلعلمٌ :. .: Support and security forums :.

05-18-2009, 12:48 AM	#3
omdeapes :: عضو فعال :: تاريخ التسجيل: Feb 2009 الدولة: محتجز فى ملف php المشاركات: 40 التقييم: 50	السلام عليكم ورحمة الله وبركاته السلام عليكم ورحمة الله وبركاته شكرا جدا اخى العزيز TqaSiM 3aSheq على ردك الجميل وان شاء الله يكون فى جديد دايما ونعدكم بالمزيد ولكن سامحنى على غيابي فأنا مشغول للغاية أكرر شكري على مرورك

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
انواع عرض الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
بعض اوامر الملف htaccess وتحويلات 301 مفيده	Ahmed	دورة الأرشفة الشامله بتقنيات الـ SEO	8	06-30-2011 10:35 AM
Mcafee Total Protection 2010عملاق الحماية أخر اصدار	tedata	[ صالة ] البرامج العامة والمشروحة	0	09-04-2010 06:31 PM
اقوى برامج الحماية باحدث نسخة up to 27.07.2008	ابو مالك	[ صالة ] البرامج العامة والمشروحة	8	05-01-2009 08:37 PM
حصريا هاك الحماية الخارق MaSTeR Security	Just Smile	[ صالة ] تطوير منتديـــــ vb3.7.X ــات	4	03-20-2009 02:37 PM
مشكله فى كتابه المواضيع بسبب htaccess	shams80	[ صالة ] مشاكل وحلول المواقع والمنتديات	2	11-27-2008 05:45 AM

خدمات

فيبيولتن

vBulletin

روابط اعلانية

05-19-2009, 03:56 PM	#4
menhnak :: عضو جديد :: تاريخ التسجيل: Feb 2009 المشاركات: 16 التقييم: 50	شرح كافي وافي ومعلومات اكثر من رائعة الله يجزيك خير بارك الله فيك

05-20-2009, 04:00 AM	#5
omdeapes :: عضو فعال :: تاريخ التسجيل: Feb 2009 الدولة: محتجز فى ملف php المشاركات: 40 التقييم: 50	السلام عليكم ورحمة الله وبركاته شكرا اخى العزيز menhnak بالتوفيق للجميع ان شاء الله

05-21-2009, 08:14 PM	#6
Mr.FaHaD :: عضو فعال :: تاريخ التسجيل: Oct 2008 الدولة: php Developer المشاركات: 90 التقييم: 50	يا سلام عليك تسلم اخوي على الشررح الطيب

05-23-2009, 08:41 AM	#7
omdeapes :: عضو فعال :: تاريخ التسجيل: Feb 2009 الدولة: محتجز فى ملف php المشاركات: 40 التقييم: 50	السلام عليكم ورحمة الله وبركاته شكرا جزيلا اخى مستر فهد على ردك انتظر منك كل افادة ان شاء الله وياليت لو نتعاون فى حماية الامه العربيه جميعا من خلال تقديم ادق خدمات الويب المتقدمة الى اخواننا العرب وأخوى احمد ياريت تشرفنا فى الموضوع الموضوع ينقص خبراتك

الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)