1. المٌقدمة الأولي :دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    تٌعد ثغرات حقن قواعد البينات الثغرة رقم واحد فى العالم والمصنفة تحت بند الإخطر
    والفريق التابع له بإختراق أكبر المواقع الصهيونية قرائة الموضوع
  2. المٌقدمة الثانية : دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    في هذه المٌثقدمة الثانية والأخيرة سوف نتعرف على قواعد علم حقن قواعد البيانات
    حتى يتثنى لنا علم يٌساعدنا على القيام بعمليات الحقن بالطرق الصحيحه قرائة الموضوع
  3. دورة كشف دمج والتلغيم حصريا على أرض عراق تيم(2017)
    بعد ماقمت بعمل دورة الكشف دمج والتلغيم وستكملت الدوره وتحتوي على 12 درس
    كانت دروس حصريا على عراق تيم وشرح واضح جدا ومفهوم الى المبتدأ والى المبدع قرائة الموضوع

[ شرح ] http وكيفية يتم الهجوم (ِattack via http methods )

الموضوع في 'آمن المواقع والسيرفرات' بواسطة .ılı.Iяẫqi.ılı., بتاريخ ‏26 ابريل 2014.

كاتب الموضوع : .ılı.Iяẫqi.ılı. المشاهدات : 812 الردود : 20 ‏26 ابريل 2014
حالة الموضوع:
مغلق
  1. غير متصل

    .ılı.Iяẫqi.ılı.
    DeveloPer Plus

    عضو منذ:
    ‏22 ديسمبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    4
    نقاط الجائزة:
    الإقامة:

    بسم الله الرحمن الرحيم

    الحمد لله وحده نحمده و نشكره و نستعينه و نستغفره و نعود بالله

    من شرور أنفسنا و من سيئات أعمالنامن يهده الله فلا مظل له و من

    يظلل فلن تجد له ولياً مرشداو أشهد ألا إلاه إلا الله وحده لا شريك له

    و أن محمداً عبده و رسوله صلى الله عليه و سلم

    و على آله و صحبه أجمعين و من تبعهم بإحسان إلى يوم الدين .

    [​IMG]

    اليوم سنتكلم عن بروتوكول نقل النص التشعبي (HTTP) ونوضح ما

    هو وكيف يعمل وكيف يتم التلاعب في طرق البروتوكول عبر بروتوكول

    نقل النص التشعبي . وسنمر على الموضوع في ثلاث مراحل

    اختصرها بالتالي

    نبذة مختصرة عن بروتوكول الـــ HTTP .

    كيف يعمل بروتوكول الـــ HTTP .

    توضيح هجوم التلاعب بالبروتوكول (ATTACK VIA HTTP METHODS) والسبب المؤدي لهذا الضعف .

    [​IMG]

    نبدأ على بركة الله

    نبذة مختصره عن بروتوكول الـــ HTTP ماهو؟

    " HTTP " هو إختصار للجملة الإنجليزية " HyperText Transfer Protocol "

    والتي تعني بروتوكول نقل النص التشعبي

    ويستخدم في نقل بيانات الويب بين المتصفح والخادم ويمكن تصنيفه هنا , كعميل المستخدم (user agent)

    يتميز هذا البروتوكول بالسرعة الكبيرة في نقل البيانات كونه يعمل بصورة غير مقيدة أو ما يعرف بـStateless.

    النقل غير المقيد هو عملية نقل البيانات دون التأكد من وصول أو فقد البيانات في طريقها الى الجانب الآخر. كما أن نقل البيانات تتم بصورة بسيطة جدا حيث لا يبقى المُرسِل على اتصال بالبيانات التي قام بإرسالها، فكل عملية نقل تكون مستقلة عن سابقتها.

    عملية الاتصال تتم عن طريق نظام TCP/IP على الطبقة الخامسة وهي طبقة التطبيقات. رقم المدخل الاساسي لنظام TCP/IP هو البورت 80 ولكن يمكن ان يكون رقم آخر.ويستخدم هذا البروتوكول في الإنترنت منذ العام 1990م وحتى الآنومن اصدارتة

    0.9 - 0.1 - 1.1 - 1.2

    كيف يعمل بروتوكول الـــــــــ HTTP .

    يعمل على ارسال طلبات من المستخدم عبر المتصفح وهذه الطلبات تسمى بـــ HTTP Requests

    ثم يرد السيرفر برساله حسب طلبية المتصفح اي (استجابة السيرفر للمتصفح)

    وهذه الاستجابة تسمى بـــHTTP Responses

    مثال

    [​IMG]

    وهنا الــ HTTP

    يأخذ نمط معيناَ بالنسبة للطلب والاستجابه و هنا نستطيع تبسيط عمل البروتوكول

    بنقاط ثلاث و هي :

    1. Request/Response Line .

    2. HTTP Header .

    3. HTTP Body.

    1.Request/ Line

    ولهذه النقطة يتم ايضا طلب معلومات وهي ثلاث طلبيات وهي

    Methods HTTP

    ملفات السكربت على السيرفر (موارد السيرفر)

    اصدار الــــ http

    مثال للـــ Request Line

    GET /index.php HTTP/1.1


    2. HTTP Header

    هنا ايضاَ يحتوي على عدة معلومات كمعلومات السيرفر والبيانات التي ارسلت (Entity)

    و البيانات الخاصة بالمتصفح

    HTTP Body .3

    هنا عمليات الطلب لل post

    بالنسبة للـــــRequest Line

    هنا استجابة للطلبات التي تمت سابقاَ

    الي يهمنا من كل هذا الـــ HTTP Methods

    نرجع للمثال السابق لاحظ

    GET /index.php HTTP/1.1

    هنا الـــ HTTP METHODS

    يخبر السيرفر كيف يتعامل مع طلب الأوامر وهنا الامر من نوع GET

    وهناك عدة اوامر للــ HTTP METHODS

    وهي

    كود PHP:
    OPTIONS GET HEAD POST PUT COPY DELETE MOVE PROPFIND PROPPATCH SEARCH MKCOL LOCK UNLOCK TRACE
    توضيح هجوم التلاعب بالبروتوكول(ATTACK VIA (HTTP METHODS

    والسبب المؤدي لهذا الضعف .

    لنوضح هذه النقطة وهي اهم نقطة هنا يتم التلاعب بالــ

    HTTP Methods ويتم تطبيق اوامر السابق وتطبيق اوامر معينة على

    السيرفر و هنا سبب الضعف هو الاعدادات لملف htaccess

    لاحظ معي هالهتاكسس

    كود PHP:
    <Limit GET POST >
    order deny,allow
    allow from all
    </Limit>
    هنا سامح للأمرين واضحين وهم GET & POST

    لنلقي صورة كمثال على موقع هنا اعطينا امر PUT

    هنا الامر غير مفعل لكن لو تلاحظ امام كلمة ALLOW لاحظ الصورة

    [​IMG]

    ملاحظة هنا بغض النظر اذا كان السيرفر من نظام لينكس او وندوز فان الضعف يرجع

    في ضبط اعدادات htaccess بالنسبه للينكس و لنظام الوندوز misconfiguration .

    لنطبق على احدى السيرافرات

    لاحظ هنا الصوره قمنا بطلب ومن ثم طبقنا احدى اوامر الـــ HTTP METHODS

    و هو الأمر OPTIONS لاحظ ...

    [​IMG]

    طبعاَ الامر واضح هنا تبين لنا الاوامر المفلعة على السيرفر لاحظ

    الصوره هنا تمت الاستجابه

    [​IMG]

    تعرفنا على الامر مفعل من خلال رد البروتوكول بالرقم 200 OK

    بمكانك تطبيق امر معين مباشرة واذا رد السيرفر بناتج200 OK او

    كلمة ALLOW ويعنون بأن الامر مفعل

    الآن بما ان امر الـ PUT لننشأ ملف على السيرفر وليكن اسم الملف

    مثلاَ Hiker.txt ونكتب عليه ما شئنا لاحظ

    [​IMG]

    نلاحظ النتيجة على الموقع بنسخ الرابط امامك في الصوره السايقة



    الان لنجرب وضع اندكس بصيغة HTMl

    بنفس الخطوات السابقة الصورة تتكلم

    [​IMG]

    لنرى النتيجة على الموقع

    [​IMG]

    الى هنا وصلنا الى اخر الحديث ارجو ان اكون قد وفقت في ايصال

    المعلومة ولو بشي البسيط واعذروني حاولت قدر الامكان ان ابسط

    والخص وهذا الذي خطته يداي . :{7}:
     


    جاري تحميل الصفحة...
  2. غير متصل

    ! ـآوتآر !
    DeveloPer Plus

    عضو منذ:
    ‏19 يوليو 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    5
    نقاط الجائزة:
    الإقامة:

    رد: http وكيفية يتم الهجوم (ِattack via http methods )

    تسلم الايادي

    وبارك الله فيك​
     


  3. غير متصل

    nadoriam
    rank
    Developer

    عضو منذ:
    ‏26 ابريل 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:

    رد: http وكيفية يتم الهجوم (ِattack via http methods )

    مبدع يآ آخيُ ..

    موٍضوع رٍآئع جدآ ..

    وٍآصَل فيُ آلمشوٍآرٍ .. &:":&:":
     


  4. غير متصل

    Mr.FriezA
    V • I • P

    عضو منذ:
    ‏10 مارس 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    21
    نقاط الجائزة:
    الجنس:
    ذكر
    الإقامة:

    رد: http وكيفية يتم الهجوم (ِattack via http methods )

    %:" استمر يابطل
     


  5. غير متصل

    kasm
    DeveloPer Plus

    عضو منذ:
    ‏6 نوفمبر 2011
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:

    رد: http وكيفية يتم الهجوم (ِattack via http methods )

    مبدع حبيبي واصل ابداعك
    أحلى تقيم لعيونك
     


  6. غير متصل

    E - l o O w
    rankrank
    Active DeveloPer

    عضو منذ:
    ‏27 مارس 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    7
    نقاط الجائزة:
    الوظيفة:
    قريباً|| قوة دفاع البحرين||
    الإقامة:

    رد: http وكيفية يتم الهجوم (ِattack via http methods )

    #.

    وعليكم السلام ورحمة الله وبركاته

    يعطيك العافية ،،


     


  7. غير متصل

    عراقي انا
    rank
    Developer

    عضو منذ:
    ‏22 ديسمبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    2
    نقاط الجائزة:
    الإقامة:

    رد: http وكيفية يتم الهجوم (ِattack via http methods )

    عَّلِّيِّﮝمِّ آلِّسَّلِّآمِّ وٍّرِحَّمِّةٍّ آلِّلِّهِّ وٍّبٍّرِﮝآتٍّةٍّ

    يِّعَّطِّيِّﮝ آلِّعَّآفٍّيِّةٍّ يِّآمُِّبٍّدٍّعَّ

    شِّرِحَّ جِّمِّيِّلِّ جِّدٍّآ تٍّسَّتٍّآهِّلِّ آحَّلِّىِّ تٍّقٍّيِّمِّ...
     


  8. غير متصل

    or0
    V • I • P

    عضو منذ:
    ‏22 فبراير 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    14
    نقاط الجائزة:

    رد: http وكيفية يتم الهجوم (ِattack via http methods )

    عليكم السلام ورحمة الله وبركاته ..
    شكرا عزيزي .
     


  9. غير متصل

    .ılı.Iяẫqi.ılı.
    DeveloPer Plus

    عضو منذ:
    ‏22 ديسمبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    4
    نقاط الجائزة:
    الإقامة:

    رد: http وكيفية يتم الهجوم (ِattack via http methods )

    نورة الموضوع ياللغالي
     


  10. غير متصل

    .ılı.Iяẫqi.ılı.
    DeveloPer Plus

    عضو منذ:
    ‏22 ديسمبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    4
    نقاط الجائزة:
    الإقامة:

    رد: http وكيفية يتم الهجوم (ِattack via http methods )

    الله يبارك فيك أخي

    منور الموضوع يالغالي ً#ٌ5oًًًُ.
     


حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...