Loading...

BTC Address to donate : [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]


PHILOPS عضو نشيط
  • شكراً: 47
  • تم شكره 74 مرة في 36 مشاركة

السلام عليكم ورحمة الله تعالى و بركاته

مبروك عودة المنتدى، في شئ حبيت اناقشه مع الاعضاء

حول الطريقة الجيدة لحماية قواعد البيانات، طبعا الكل شاف قصة الاخ فارس كيف اخترق الشركة
و كانت عاملة حماية بسيطة لدرجة ما .. بانشاء سيرفر داخلي بتجيب منه البيانات ...

عندي خادم اخر احاول حمايته، الطرق الحماية العادية المعروفة طبقتها و شفرت البيانات
لكن ما هو الاسلوب الجيد للحماية و ابعاد المخترق عنها قدر الامكان ..

مثال: شخص اخترق الموقع بطريقة معينة نسميها ط1 .. انا عملت الداتابيز في سيرفر اخر و على ايبي اخر
و البرمجيات بتعتي تتصل بالسيرفر البعيد : ip , username , password

الشخص دا قرأ بيانات الاتصال .. طيب هنا، ابي أعرف هل في طريقة مثلى لمنعه من الاتصال و الاستعلام
و عمل dump للقاعدة .. ؟؟

لاني فكرت بطريقة اخرى ابرمج سكربت معين و اخليه يتصل بقاعدة البيانات الي بالسيرفر البعيد عن طريق curl بس !
و ياتي بالبيانات المطلوبة مع تابعها التوكن.

لذا حبيت اناقش معكم الفكرة ..

أحسن و أفضل الطرق (الحديثة) لحماية قواعد البيانات من السحب و الاختراق ؟

Cwne :: عضو خاص ::
  • شكراً: 541
  • تم شكره 451 مرة في 122 مشاركة

وعليكم السلام ورحمة الله وبركاته

ابتعد عن استخدام دوال mysql
واذهب لإستخدام PDO
إقرأ عنها مزيد من المعلومات وتوكل على الله

الله يوفقك

توقيع
سُبحانَك اللّهم وبحمدِك عَدد خَلقِك ورِضا نفسِك وزِنةَ عرشِك ومِدادَ كَلماتِك
رضيت بالله رباً وبالإسلام ديناً وبمُحمدٍ صلَ الله عليهِ وَسلمَ نبياً ورسولاً
....
قال بعض السلف: من عمل في السر عملاً يستحي منه في العلانية، فليس لنفسه عنده قدر.
....
فقد أخبرنا النبي صلى الله عليه وسلم بذلك فقال: "دعوة المرء المسلم لأخيه بظهر الغيب مستجابة، عند رأسه ملك موكل به، كلما دعا لأخيه قال الملك الموكل به: آمين ولك بمثل." رواه مسلم.
وقال النووي في شرح مسلم: وَكَانَ بَعْض السَّلَف إِذَا أَرَادَ أَنْ يَدْعُو لِنَفْسِهِ يَدْعُو لِأَخِيهِ الْمُسْلِم بِتِلْكَ الدَّعْوَة؛ لِأَنَّهَا تُسْتَجَاب، وَيَحْصُل لَهُ مِثْلهَا.
الأعضاء الذين قالوا شكراً لـ Cwne على المشاركة المفيدة:
PHILOPS عضو نشيط
  • شكراً: 47
  • تم شكره 74 مرة في 36 مشاركة

المشاركة الأصلية كتبت بواسطة Cwne اقتباس :
وعليكم السلام ورحمة الله وبركاته

ابتعد عن استخدام دوال mysql
واذهب لإستخدام PDO
إقرأ عنها مزيد من المعلومات وتوكل على الله

الله يوفقك
يا رجال انت في واد، و انا في واد اخر
انا احكي عن حماية قواعد البيانات .. مو الاختراق عن طريق الثغرات sqli وغيرها .. مثل ما تعمل الشركات الكبير الي تحمي بيانات مستخدميها



.

El-Saidie مسجل جديد
  • شكراً: 0
  • تم شكره مرة واحدة في مشاركة واحدة

يمكنك قرائة هذه المقالات ستفيدك ان شاء الله
http://www.hexatier.com/mysql-databa...est-practices/
وايضا الجزء هذا
http://www.hexatier.com/mysql-databa...t-practices-2/

الأعضاء الذين قالوا شكراً لـ El-Saidie على المشاركة المفيدة:
PHILOPS عضو نشيط
  • شكراً: 47
  • تم شكره 74 مرة في 36 مشاركة

المشاركة الأصلية كتبت بواسطة el-saidie اقتباس :
يمكنك قرائة هذه المقالات ستفيدك ان شاء الله
http://www.hexatier.com/mysql-databa...est-practices/
وايضا الجزء هذا
http://www.hexatier.com/mysql-databa...t-practices-2/
شكراً، تقريبا المواضيع قرأتها سابقاً و جميعها طبقتها
ابي أفكار جديدة، مستحدثة مثل حماية للأبد موزع نفسه بسيرفرات مكلفة بس فعالة

Dr.Mohamed Sec4Ever Team
  • شكراً: 1881
  • تم شكره 5668 مرة في 1415 مشاركة

طرقة سهلة

لكل استعلام في السكربت تبعك ارسله عن طريق curl +access token خلض بكل استعلام

السكربت في السرفر الثاني راح يشوف access token تبعك و يشوف param post ويوجهم للاستعلام المطلوب و يرد xml او json مع قلترة المدخلات طبعا

توقيع
...........
3 أعضاء قالوا شكراً لـ Dr.Mohamed على المشاركة المفيدة:
PHILOPS عضو نشيط
  • شكراً: 47
  • تم شكره 74 مرة في 36 مشاركة

المشاركة الأصلية كتبت بواسطة dr.mohamed اقتباس :
طرقة سهلة

لكل استعلام في السكربت تبعك ارسله عن طريق curl +access token خلض بكل استعلام

السكربت في السرفر الثاني راح يشوف access token تبعك و يشوف param post ويوجهم للاستعلام المطلوب و يرد xml او json مع قلترة المدخلات طبعا
مِم جيد، مثلما فكرت بالأول عن طريق التوكن .

Murtada Al-iRaQi عضو مميز
  • شكراً: 195
  • تم شكره 72 مرة في 43 مشاركة

التشفير بخوارزمية خاصة

توقيع
Murtada Kamil
Bug Hunter
CmOs_CLR C-H TeAm
  • شكراً: 81
  • تم شكره 231 مرة في 21 مشاركة

غير ممكن . اذا وصل المخترق لمعلومات الاتصال بالقاعدة اعتبر القاعدة اتسحبت والله اعلم .
الحل المعقول هو التشفير لمعلومات الاتصال و تمويهها و فقط.
يمكن تشفير جداول القاعدة و فك التشفير من خلال سكريبت الموقع لكن يؤدى الى بطىء في التصفح و اذا كان المخترق انسان متمكن اعتبر الامر تعب زيادة هههه.
بالتوفيق .

5 أعضاء قالوا شكراً لـ CmOs_CLR على المشاركة المفيدة:
PHILOPS عضو نشيط
  • شكراً: 47
  • تم شكره 74 مرة في 36 مشاركة

المشاركة الأصلية كتبت بواسطة cmos_clr اقتباس :
غير ممكن . اذا وصل المخترق لمعلومات الاتصال بالقاعدة اعتبر القاعدة اتسحبت والله اعلم .
الحل المعقول هو التشفير لمعلومات الاتصال و تمويهها و فقط.
يمكن تشفير جداول القاعدة و فك التشفير من خلال سكريبت الموقع لكن يؤدى الى بطىء في التصفح و اذا كان المخترق انسان متمكن اعتبر الامر تعب زيادة هههه.
بالتوفيق .
ههه شكرا نسيم، لأني فكرت بجميع الطرق و آخر حل كان عندي هو " التوكن " .

طبقت أسلوب جديد .. سريع و فعال + تكلفة مالية مجهدة لكن الأهم الحماية ..
و اذا كان المخترق ذكي أعلم حتما سيصل .. لكن عسى المانع خير ..


.

الأعضاء الذين قالوا شكراً لـ PHILOPS على المشاركة المفيدة:
أدوات الموضوع
انواع عرض الموضوع


Powered by vBulletin® Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.

:: Security By : Sec4ever Team ::

جميع الحقوق محفوظة الحماية للأبد -Security 4 Ever
Sec4ever by Sec4ever
جميع الحقوق محفوظة الحماية للأبد -Security 4 Ever
Sec4ever by Sec4ever