العودة   منتديات عشاق السودان > منتديات الكمبيوتر والإنترنت > منتدى الشبكات وأنظمة التشغيل
تأميين الـphp تأميين الـphp
التسجيل مستضيف الصور التعليمـــات قائمة الأعضاء التقويم اجعل كافة المشاركات مقروءة

رد
 
LinkBack أدوات الموضوع طرق مشاهدة الموضوع
قديم 16-03-2007, 17:22   رقم المشاركة : 1 (permalink)
معلومات العضو
Silent Storm
المشرف العام
 
الصورة الرمزية Silent Storm
 

 
 
إحصائية العضو









Silent Storm غير متواجد حالياً

 

إحصائية الترشيح

عدد النقاط : 10
Silent Storm تم تعطيل التقييم

 

 
تأميين الـphp
السلام عليكم ورحمة الله

أريد اليوم ان أثرثر معكم حول الامن والحماية للـPHP،
الـPHP تأتي الينا لسوء الحظ غير محمية حامله في جُعبتها كثير من الكوارث والفيضانات واحيانا البراكيين ، ولكن هنالك عدة طرق وأساليب لجعلها آمنه على سيفراتنا او مواقعنا ، في هذا الموضوع
لا أريد ان اتحدث الى المبرمجيين ولن اتعرض الى اكود الـPHP ، لان هنالك عدة مواضيع تعليمية لكيفية كتابة كود آمن في الـPHP ...
يمكنكـ توفير البئة الآمنة للـ PHP عبر عدة طرق كـإضافة موديلست خاصة كــmod_security أو تعطيل بعض دوال الـPHP الخاصة بالتعامل مع نظام التغشيل
يمكن ايضا تعطيل بعض الدوال
لتعطيل بعض دوال الـPHP قم بالدخول الى الـTerminal الخاص بك ، وسوف يكن الشرح لـlinux Box .
1- قم بالبحث عن ملف الاعدادات عبر الامر :


كود:
whereis php.ini
لمستخدمي لوحة التحكم الخاصة بالـcPanel يمكنهم العثور على الملف في الدليل : /

كود:
usr/local/lib/php.ini
وفي بعض الـterminals الاخرى فهي عادةً موجودة في المسار :

كود:
/etc/php.ini
أفتح الملف عن طريق المحرر المفضل لديك .. مثلا انا استخدم Nano


كود:
pico -w /etc/php.ini
أو


كود:
pico /usr/local/lib/php.ini
بعد فتح الملف توجه الى اسفله وسوف تجد عبارة disabled_functions وهي عباره عن ماغير يتم حفظ الدوال التي تم تعطيلها في الموقع او السيرفر ككل..
إذا وجدت في بداية السطر أي قبل اسم المتغير هذه العلامة ";" قم بحذفها وضع :


كود:
disable_functions = "system,exec"
هنا نحن قمنا بتعطيل دالتيين وهما دالة system() ودالة exec() وهاتيين الدالتيين يمكن عبرهما تنفيذ أي أمر لنظام التشغيل.وفي اعتباري الخاص هاتيين الدالتيين من اخطر

الدوال .
مثال لبعض الدوال الخطر التي يجب ان تعطل :


كود:
disable_functions = "exec,system,passthru,readfile,shell_exec,escapeshellarg,escapeshellcmd,proc_c
lose,proc_open,ini_alter,dl,popen,parse_ini_file,show_source,curl_exec"
أحفظ الملف واعد تشغيل الـapache ...

هنالك حيله اخرى مع الـ open_basedir

يمكن للمستخدميين عبر الـphp open_basedir منع المستخدمين الخروج من ملفاتهم او مجلداتهم ، أي لكي لا يستطيعون الطلاع على ملفات المواقع الاخرى اللي في نفس السيرفر:
هنالك طريقتيين الاولى الطريقة الاستاندر والثانية عبر لوحة التحكم cPanel

1- قم بإضافة < VirtualHost > لكل المواقع اللي عندك :


كود:
< IfModule mod_php4.c / >
php_admin_value open_basedir "/home/USER/public_html:/home/USER:/usr/lib/php
:/usr/local/lib/php:/tmp"
< /IfModule >
مع تغيير اسم المستخدم "USER" .

2- عن طريق لوحة التحكم cPanel قم بإختيار قائمة اعدادات السيرفر > Tweak Security >
اضغط في Php's open_basedir وقم بتأشير مربع الاختيار لمنع / السماح لمواقع محددة.
او قم بالدخول مباشرة عن طريق الرابط

https://1.1.1.1:2087/scripts2/tweakphpdir

هذا كل ما لدي اليوم .... وأكيد في انتظار مداخلاتكم المفيدة .... وسامحونا على التقصير

* * * هنالكـ ردود مفيدة واضافات رائعة جدا تجدونها في الرابط
http://www.swalif.net/softs/showthread.php?t=183249
الصور المرفقة
نوع الملف: jpg 1.JPG‏ (10.1 كيلوبايت, المشاهدات 15)

التوقيع

Silent Storm غير متواجد حالياً   رد مع اقتباس
قديم 17-03-2007, 14:17   رقم المشاركة : 2 (permalink)
معلومات العضو
Temon
عضو مميز
 
الصورة الرمزية Temon
 

 
 
إحصائية العضو









Temon غير متواجد حالياً

 

إحصائية الترشيح

عدد النقاط : 30
Temon is on a distinguished road

 

 
مشاركة: تأميين الـphp
Hello Hamada,
a great topic just like your presenter , i would like to discuss more and more about php secuering .. 1st of all " exec" function classed as most disestar maker funtion ever but so many project need to execute shell commands through php , so we cant warranty 100% this function hasn been disabled
also there is File handling functions like fopen, file_get_contents, and include accept URLs as file parameters (for example: fopen('http://www.example.com/', 'r')). Even though this enables developers to access remote resources like HTTP URLs, it poses as a huge security risk if the filename is taken from user input without proper sanitization, and opens the door for remote code execution on the server. To disable this and limit file functions to local system, use the following
كود:
 allow_url_fopen = Off
also php has a safe mode. In this mode, access to files not owned by Apache is disabled, and access to environment variables and execution of binary programs are also disabled.
In its default state, PHP's safe mode is too restrictive for any advanced development to be possible. However, there are several settings to relax it. The biggest problem with safe mode is that only files owned by Apache are accessible to PHP scripts. This is often impractical when many developers are working on the same project, or when you want PHP to read a file without changing its ownership. Another affected situation is when you want PHP to read files generated by other programs. To work around this, there is a setting that checks for file group instead of owner:
كود:
safe_mode = Off
safe_mode_gid = On
With safe_mode_gid enabled instead of safe_mode, PHP will be able to open files that belong to Apache's group regardless of the owner. So if there are several developers working on the same server, add them to Apache's group, make it their default group, and everything should be set
Safe mode is also useful in stopping PHP from executing binaries, but sometimes you may need to let it run specific programs. In this case place these binaries (or symbolic links to them) in a directory (/var/www/binaries for instance) and use the following option:
كود:
safe_mode_exec_dir = /var/www/binaries
Finally, to allow access to certain environment variables, use the following setting, providing a comma-separated list of prefixes. Only environment variables which names begin with one of the prefixes will be accessible

To be Continue

التوقيع


You will never walk aLone
Temon غير متواجد حالياً   رد مع اقتباس
قديم 17-03-2007, 14:35   رقم المشاركة : 3 (permalink)
معلومات العضو
Silent Storm
المشرف العام
 
الصورة الرمزية Silent Storm
 

 
 
إحصائية العضو









Silent Storm غير متواجد حالياً

 

إحصائية الترشيح

عدد النقاط : 10
Silent Storm تم تعطيل التقييم

 

 
مشاركة: تأميين الـphp
اقتباس:
all " exec" function classed as most disestar maker funtion ever but so many project need to execute shell commands through php , so we cant warranty 100% this function hasn been disabled
في الحقيقة الحل الامثل في للسيرفرات العامه sharehosting server تعطيل كافة الدوال التي تنفذ اوامر النكس .... ومعظم البرمجيات الكبيرة لا تعتمد على هذه الدوال ....
اقتباس:
if the filename is taken from user input without proper sanitization,
نعم يمكن تنفيذ اوامر داخل ملف خارج السيرفر ...

أشكركـ كثيراً لإضافاتك الرائعة

ولا عدمناكـ
وبإنتظار جديدكـ

اقتباس:
php has a safe mode.
اعتقد انها فكرة سيئة bad idea لانها تعطيل دوال كثيرة قد نحتاجها مثلا دالة copy وغيرها من الدوال المهمه
في النسخ القديمة ممكن تخطي السيف مود هذا عبر :
كود:
copy("compress.zlib:///etc/passwd", "/home/cxib/to/bandyta/passwd.txt");

التوقيع

Silent Storm غير متواجد حالياً   رد مع اقتباس
قديم 20-03-2007, 14:32   رقم المشاركة : 4 (permalink)
معلومات العضو
ود المتمة
عضو ذهبي
 
الصورة الرمزية ود المتمة
 

 
 
إحصائية العضو









ود المتمة غير متواجد حالياً

 

إحصائية الترشيح

عدد النقاط : 10
ود المتمة is on a distinguished road

 

 
مشاركة: تأميين الـphp
عودة ليك أخونا حمادة ...
وأسئلة سريعة ...:::
httpd.conf ...... ما هي مميزاته ؟؟ وهل يغني HTTACCSES
Suhosin بس نبذة عنه ,....؟؟
وهل يتحتم على كل مستضيف تركيبه بجانب الـــPHP؟؟؟

التوقيع


من أنت حتى ... تأخذي قلبي بين يديك ....
ود المتمة غير متواجد حالياً   رد مع اقتباس
قديم 21-03-2007, 19:55   رقم المشاركة : 5 (permalink)
معلومات العضو
Temon
عضو مميز
 
الصورة الرمزية Temon
 

 
 
إحصائية العضو









Temon غير متواجد حالياً

 

إحصائية الترشيح

عدد النقاط : 30
Temon is on a distinguished road

 

 
مشاركة: تأميين الـphp
Salam
may i take this in action i answer you !
1st of all i'll start with defntion of http.conf file, the main configuration file of apache is usually called httpd.conf. The location of this file is set at compile-time, but may be overridden with the
-f command line flag , in this file you can add you site Vdir and set ur configuration paramiters as well, using so many known statment
Example:

<VirtualHost 10.1.2.3>
ServerAdmin webmaster@host.com
DocumentRoot /www/docs/host.com
ServerName host.foo.com
ErrorLog logs/host.com-error_log
TransferLog logs/host.access_log
</VirtualHost>

and so many other statment depend on ur need,s
-----------------------------------------------------
Suhosin is an advanced protection system for PHP installations. It was designed to protect servers and users from known and unknown flaws in PHP applications and the PHP core. Suhosin comes in two independent parts, that can be used separately or in combination. The first part is a small patch against the PHP core, that implements a few low-level protections against buffer overflows or format string vulnerabilities and the second part is a powerful PHP extension that implements all the other protections

التوقيع


You will never walk aLone
Temon غير متواجد حالياً   رد مع اقتباس
قديم 21-03-2007, 21:48   رقم المشاركة : 6 (permalink)
معلومات العضو
ود المتمة
عضو ذهبي
 
الصورة الرمزية ود المتمة
 

 
 
إحصائية العضو









ود المتمة غير متواجد حالياً

 

إحصائية الترشيح

عدد النقاط : 10
ود المتمة is on a distinguished road

 

 
مشاركة: تأميين الـphp
العزيز تيمون ....
بتساءل مرات كتيييييرة ..... من وجود أخطاء كتيرة عند المبرمجين خاصة بي لغة php .. فهل هذا راجع لهم ....؟؟؟ أم إن اللغة هي نفسها حملت ثغراتها من تطورها من لغات أو مبرمجين سابقا ....؟؟؟

سؤال برضو كده ....أحسن أنواع السيرفرات شنو ....؟؟؟؟ (( يعني مواصفات أفضل سيرفر ))

++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++


وبس يا ريت .... لو ممكن تفتحوا لينا دورة بي اتش بي .... عشان نطور من خبراتنا البسيسيييييييييييييييطة فيها ..... ونستفيد منكم يا غالين ......


ولكم التحية ..

التوقيع


من أنت حتى ... تأخذي قلبي بين يديك ....
التعديل الأخير تم بواسطة : ود المتمة بتاريخ 21-03-2007 الساعة 22:00.
ود المتمة غير متواجد حالياً   رد مع اقتباس
قديم 21-03-2007, 22:03   رقم المشاركة : 7 (permalink)
معلومات العضو
Temon
عضو مميز
 
الصورة الرمزية Temon
 

 
 
إحصائية العضو









Temon غير متواجد حالياً

 

إحصائية الترشيح

عدد النقاط : 30
Temon is on a distinguished road

 

 
مشاركة: تأميين الـphp
well php self dev lang .. and theres no 100% hardcode garrnty so some times coder missed up somewhere in some function this cases a exploites which be used by crackers
about servers i believe in the following
Intel P4 2.8 Dual Core 920
160GB SATA Hard Drive
Bandwidth: 2000GB
100 Mbit Switch Port
OS RHEL 4 configure with php and Lighttpd/apache 2

التوقيع


You will never walk aLone
Temon غير متواجد حالياً   رد مع اقتباس
قديم 21-03-2007, 22:43   رقم المشاركة : 8 (permalink)
معلومات العضو
ود المتمة
عضو ذهبي
 
الصورة الرمزية ود المتمة
 

 
 
إحصائية العضو









ود المتمة غير متواجد حالياً

 

إحصائية الترشيح

عدد النقاط : 10
ود المتمة is on a distinguished road

 

 
مشاركة: تأميين الـphp
اقتباس:
about servers i believe in the following
Intel P4 2.8 Dual Core 920
160GB SATA Hard Drive
Bandwidth: 2000GB
100 Mbit Switch Port
OS RHEL 4 configure with php and Lighttpd/apache 2
على ما أظن زي ما انت كتبته .... أهم شيء نستغني عن الداعمة للينيكس ..... صحيح ....

التوقيع


من أنت حتى ... تأخذي قلبي بين يديك ....
ود المتمة غير متواجد حالياً   رد مع اقتباس
قديم 21-03-2007, 22:46   رقم المشاركة : 9 (permalink)
معلومات العضو
ود المتمة
عضو ذهبي
 
الصورة الرمزية ود المتمة
 

 
 
إحصائية العضو









ود المتمة غير متواجد حالياً

 

إحصائية الترشيح

عدد النقاط : 10
ود المتمة is on a distinguished road

 

 
مشاركة: تأميين الـphp
بالنسبة ...للسيف مود ..... وزي ما كلنا عارفين بقى عاديازول يتخطاه ....... !!!!
في حالة التخطي ....هل يستطيع امخترق أن يصل للـــroot files ...؟؟؟؟

...............................

وبالنسبة لحماية الملفات ... ه اافضل إنها تتشفر ....أو يمنع اوصول إليها عن طريق كلمات المرور ....؟؟؟

وبالنسبة في كتييييير من المستضيفين ما عندهم ما بيدعموا الـــzend أو غيو من برامج التشفير ... ويتحججوا بأنو بيتعارض مع أحد البرامج كده (....) ما متذكر اسمه بالضبط... نصيحتك في الحالة دي... ؟؟؟



withall my love temon