حماية أوبن كارت: 2- تأمين معلومات قاعدة البيانات
Posted: Fri Apr 29, 2011 12:16 am
بسم الله الرحمن الرحيم
الدروس السابقة
حماية أوبن كارت: 0-المقدمة
حماية أوبن كارت: 1- تأمين حساب المدير ولوحة التحكم
ثاني الشروحات العملية وأهمها في الحماية راح تكون عن تأمين معلومات قاعدة البيانات:
الخطوات موضحة بالفيديو ومقسمة على جزئيتين للمشاهدة الجزئية الأولى|الجزئية الثانية أو لتحميل الجزئين
وراح تكون التفاصيل وفائدة كل خطوة بالموضوع
-1-
تغيير اسماء ملفين الكونفيق
config.php الفائدة من هذي الخطوة هي عندما يصل المخترق إلى ملفات موقعك بأي طريقة سيتجه مباشرة إلى ملف
والسبب أنه عرف هذا الملف بإحتوائه على معلومات قاعدة البيانات في غالب السكربتات لذلك لابد من وضع عقبات للمنع من الوصول إلى هذا الملف ومن أول العقبات هو تغيير مسماه وعند تغيير المسمى بالطبع يجب أن لا يكون الاسم يدل على أن هذا الملف يحتوي على معلومات مهمة بالإمكان اختيار مسميات مجرد أن يقراءتها يتخطى الملف مثلاً تسميته بالمسمى المتكرر لملف الأسئلة الشائعة
faq.php
والاختيار هنا يترك لك
-2-
نقل ملفين الكونفيق خارج مجلد الموقع مع تغيير صلاحياتهم إلى 111
الفائدة من هذه الخطوة هي زيادة تعقيد الوصول إلى الملف حتى مع تغيير اسمه أجعله بعيداً عن مجلد السكربت
public_html والمكان المناسب أن يكون خارج المجلد الرئيسي للموقع الذي يسمى في الغالب
وكما هو معروف محتوى هذا المجلد لا يمكن أن يراه إلا من له صلاحيات كامله على الموقع ويجب أن تضع الملف بشكل لا يثير الشك أو لا تجعله شاذاً بين الملفات في هذا المجلد باختيارك لإسم يناسب مكانه بعد ذلك قم بإعطائه تصريح 111 الذي يمنع قراءة الملف وتعديله حتى على مالك الموقع وإن استطعت مخاطبة الاستضافة بتغيير التصريح من قبلهم سيكون ذلك أفضل بلا شك
-3-
وضع سطر منع ظهور رسائل خطأ في الاندكس و الكونفيق
فائدة هذه الخطوة هي عندما يصل المخترق إلى ملف الاندكس مثلاً ويقوم باستعراضه خارج السكربت مثلا على السيرفر المحلي بجهازه من الطبيعي ستظهر أخطاء بما انه أخذ ملف الاندكس وحده ومن بين هذه الأخطاء سيكون مسار ملف الكونفيق بما ان المسار مكتوب في أول سطور الملف لذلك يجب وضع كود يخفي هذه الأخطاء التي تظهر المسارات وعلى افتراض أن الملف سيكون مشفر بإتباع الخطوة التالية وإلا لا فائدة لهذا الكود
-4-
تشفير ملفين الكونفيق و الاندكس بواسطة برنامج التشفير الذي تفضله
قبل تشفير الملفات vQmod يُفضل تركيب
برامج التشفير كثيرة وتتفوق على بعضها من فترة إلى أخرى والغالب أنها لا تكون مجانية لذلك ابحث عن أفضل البرامج والتي تتوافق مع السيرفر الذي يستضيف موقعك
ioncube و zend حسب أخر بحث لي وجدت أن الكثير يفضلون
أما في الشرح فقد قمت باستخدام برنامج صغير وأرى أنه جيد ويفي بالغرض لمن لا يريد شراء أحد هذين البرنامجين
PHP LockIt!
يمكنك تحميل النسخة التجريبة لهذا البرنامج من خلال موقعه الرسمي مع العلم أنه يعمل على جميع السيرفرات
http://phplockit.com/demo.php
-5-
وربطهم بقاعدة بيانات وهمية config.php وضع ملفين وهمية للكونفيق باسم
فائدة هذه الخطوة هي تشتيت جهد المخترق وجعله يستهدف هذا الملف الوهمي ظناً منه أنه يحتوي على معلومات بينما هو ملف وهمي ليس له أي اتصال بالسكربت ولا بمعلومات السكربت ولك الحرية إما أن تجعل الملف يحتوي على معلومات وهمية أي أنها ليست مرتبطة بقاعدة بيانات حقيقية مجرد يوزر وباسورد.
أو تقوم بإنشاء قاعدة بيانات جديدة بتثبيت سكربت جديد حتى يتم تعبئتها بالبيانات ثم تحذف ملفات السكربت الجديد لأنك لن تحتاجه وبكذا تبقى عندك قاعدة بيانات فيها بيانات سكربت اوبن كارت لكنها غير متصلة بأي سكربت على الموقع في الحقيقة فتأخذ معلوماتها وهي اسمها واليوزر والباسورد وتضعها في الملف الوهمي وعند وصول المخترق لهذه البيانات بعد جهد (وقد لا يصل أساساً) سيتصل بقاعدة البيانات وقد يتوصل إلى باسورد المدير المشفر ويقوم بمحاولة فكه وبعد جهد يتم الفك وإذا ذهب للدخول به ظناً أنه قد حصل على معلومات المدير لن يتم الدخول لأنها قاعدة وهمية في ملف وهمي
وهذا سيصيبه بالإحباط وسيكون في حيرة من أمره بلا شك
-6-
تشفير الكونفيق الوهمي وتغيير صلاحياته ليوهم العابث بأنه الملف الحقيقي
الفائدة هنا هي إضافة عوامل واقعية على الملف الوهمي لإيهام العابث بأن هذا الملف هو فعلاً يحتوي على بيانات مهمة مما يجعله يضع كل تركيزه عليه وبذلك تستنزف جهده لإبعاده عن البيانات الحقيقة والبحث عنها، وأضمن لك أنه سوف ينسحب لأن النوعية التي تستهدف السكربتات أهدافهم دائماً مجرد التخريب ومحاولة سرقة كل ما يمكن سرقته فإذن لم يجد شيء يسرقه بسهولة سوف ينسحب لأن الشبكة مليئة بمليارات المواقع وهناك من المواقع ما يخترق في دقائق فلماذا يشغل باله بهذا الموقع المعقد؟
إلى هنا ينتهي الدرس وأعتذر عن الإطالة وقبل ذلك أعتذر عن تأخير الدرس لظروف متتالية أتت في الفترة الماضية
الموضوع مفتوح للاستفسار والمناقشة في المحتوى فقط ولتوضيح أي من الخطوات المذكورة بتفصيل أكثر
دمتم بخير ولا تحرموني من صالح دعائكم
الدروس السابقة
حماية أوبن كارت: 0-المقدمة
حماية أوبن كارت: 1- تأمين حساب المدير ولوحة التحكم
ثاني الشروحات العملية وأهمها في الحماية راح تكون عن تأمين معلومات قاعدة البيانات:
الخطوات موضحة بالفيديو ومقسمة على جزئيتين للمشاهدة الجزئية الأولى|الجزئية الثانية أو لتحميل الجزئين
وراح تكون التفاصيل وفائدة كل خطوة بالموضوع
-1-
تغيير اسماء ملفين الكونفيق
config.php الفائدة من هذي الخطوة هي عندما يصل المخترق إلى ملفات موقعك بأي طريقة سيتجه مباشرة إلى ملف
والسبب أنه عرف هذا الملف بإحتوائه على معلومات قاعدة البيانات في غالب السكربتات لذلك لابد من وضع عقبات للمنع من الوصول إلى هذا الملف ومن أول العقبات هو تغيير مسماه وعند تغيير المسمى بالطبع يجب أن لا يكون الاسم يدل على أن هذا الملف يحتوي على معلومات مهمة بالإمكان اختيار مسميات مجرد أن يقراءتها يتخطى الملف مثلاً تسميته بالمسمى المتكرر لملف الأسئلة الشائعة
faq.php
والاختيار هنا يترك لك
-2-
نقل ملفين الكونفيق خارج مجلد الموقع مع تغيير صلاحياتهم إلى 111
الفائدة من هذه الخطوة هي زيادة تعقيد الوصول إلى الملف حتى مع تغيير اسمه أجعله بعيداً عن مجلد السكربت
public_html والمكان المناسب أن يكون خارج المجلد الرئيسي للموقع الذي يسمى في الغالب
وكما هو معروف محتوى هذا المجلد لا يمكن أن يراه إلا من له صلاحيات كامله على الموقع ويجب أن تضع الملف بشكل لا يثير الشك أو لا تجعله شاذاً بين الملفات في هذا المجلد باختيارك لإسم يناسب مكانه بعد ذلك قم بإعطائه تصريح 111 الذي يمنع قراءة الملف وتعديله حتى على مالك الموقع وإن استطعت مخاطبة الاستضافة بتغيير التصريح من قبلهم سيكون ذلك أفضل بلا شك
-3-
وضع سطر منع ظهور رسائل خطأ في الاندكس و الكونفيق
Code: Select all
error_reporting(0);-4-
تشفير ملفين الكونفيق و الاندكس بواسطة برنامج التشفير الذي تفضله
قبل تشفير الملفات vQmod يُفضل تركيب
برامج التشفير كثيرة وتتفوق على بعضها من فترة إلى أخرى والغالب أنها لا تكون مجانية لذلك ابحث عن أفضل البرامج والتي تتوافق مع السيرفر الذي يستضيف موقعك
ioncube و zend حسب أخر بحث لي وجدت أن الكثير يفضلون
أما في الشرح فقد قمت باستخدام برنامج صغير وأرى أنه جيد ويفي بالغرض لمن لا يريد شراء أحد هذين البرنامجين
PHP LockIt!
يمكنك تحميل النسخة التجريبة لهذا البرنامج من خلال موقعه الرسمي مع العلم أنه يعمل على جميع السيرفرات
http://phplockit.com/demo.php
-5-
وربطهم بقاعدة بيانات وهمية config.php وضع ملفين وهمية للكونفيق باسم
فائدة هذه الخطوة هي تشتيت جهد المخترق وجعله يستهدف هذا الملف الوهمي ظناً منه أنه يحتوي على معلومات بينما هو ملف وهمي ليس له أي اتصال بالسكربت ولا بمعلومات السكربت ولك الحرية إما أن تجعل الملف يحتوي على معلومات وهمية أي أنها ليست مرتبطة بقاعدة بيانات حقيقية مجرد يوزر وباسورد.
أو تقوم بإنشاء قاعدة بيانات جديدة بتثبيت سكربت جديد حتى يتم تعبئتها بالبيانات ثم تحذف ملفات السكربت الجديد لأنك لن تحتاجه وبكذا تبقى عندك قاعدة بيانات فيها بيانات سكربت اوبن كارت لكنها غير متصلة بأي سكربت على الموقع في الحقيقة فتأخذ معلوماتها وهي اسمها واليوزر والباسورد وتضعها في الملف الوهمي وعند وصول المخترق لهذه البيانات بعد جهد (وقد لا يصل أساساً) سيتصل بقاعدة البيانات وقد يتوصل إلى باسورد المدير المشفر ويقوم بمحاولة فكه وبعد جهد يتم الفك وإذا ذهب للدخول به ظناً أنه قد حصل على معلومات المدير لن يتم الدخول لأنها قاعدة وهمية في ملف وهمي
وهذا سيصيبه بالإحباط وسيكون في حيرة من أمره بلا شك
-6-
تشفير الكونفيق الوهمي وتغيير صلاحياته ليوهم العابث بأنه الملف الحقيقي
الفائدة هنا هي إضافة عوامل واقعية على الملف الوهمي لإيهام العابث بأن هذا الملف هو فعلاً يحتوي على بيانات مهمة مما يجعله يضع كل تركيزه عليه وبذلك تستنزف جهده لإبعاده عن البيانات الحقيقة والبحث عنها، وأضمن لك أنه سوف ينسحب لأن النوعية التي تستهدف السكربتات أهدافهم دائماً مجرد التخريب ومحاولة سرقة كل ما يمكن سرقته فإذن لم يجد شيء يسرقه بسهولة سوف ينسحب لأن الشبكة مليئة بمليارات المواقع وهناك من المواقع ما يخترق في دقائق فلماذا يشغل باله بهذا الموقع المعقد؟
إلى هنا ينتهي الدرس وأعتذر عن الإطالة وقبل ذلك أعتذر عن تأخير الدرس لظروف متتالية أتت في الفترة الماضية
الموضوع مفتوح للاستفسار والمناقشة في المحتوى فقط ولتوضيح أي من الخطوات المذكورة بتفصيل أكثر
دمتم بخير ولا تحرموني من صالح دعائكم