عـودة للخلف   منتديات الرس اكس بي > منتديات الرس اكس بي > المنتدى العام والمواضيع المتنوعة
التسجيل الأسئلة الشائعة التقويم تعليم الأقسام كمقروءة


المنتدى العام والمواضيع المتنوعة الموضوعات العامة والمناقشات والحوارات الهادفة، والتي لا علاقة لها بأقسام المنتدى الأخرى.

إضافة رد
 
LinkBack أدوات الموضوع طريقة العرض
قديم(ـة) 30-07-2008, 12:52 PM   #31
عضو خبير
 
صورة @.ولد.الرس.@ الرمزية
 
تاريخ التسجيل: Mar 2008
البلد: ..فــي عــالمـ مزيــفـ ..
المشاركات: 4,240
قوة التقييم: 0
@.ولد.الرس.@ is on a distinguished road



.
.
هههههههههههه,,

الله ياخذهم ,,,هالخبوول

رســآآآويـــ*
@.ولد.الرس.@ غير متصل   الرد باقتباس

 
قديم(ـة) 30-07-2008, 02:00 PM   #32
عضو متألق
 
تاريخ التسجيل: Oct 2007
المشاركات: 810
قوة التقييم: 0
إنسانة عادية is on a distinguished road
والله يانا دخلت جو مع الاخ Gpl

والاخ اللون السابع

احب اتعرف على هالعالم بس وشلووووون ؟



ووزارة العمل حسبي الله عليهم الله لايحللهم هم ورفيقتهم الخدمة المدنية
__________________
تم حذف كافة تواقيع الأعضاء من قبل إدارة الرس اكس بي ونامل منكم مراجعة قوانين المنتدى قبل إعادة بناء توقيعك وشكراً
إنسانة عادية غير متصل   الرد باقتباس
قديم(ـة) 30-07-2008, 02:07 PM   #33
شاعرة
 
تاريخ التسجيل: Apr 2008
المشاركات: 3,056
قوة التقييم: 0
المهره is on a distinguished road
0

الحمدلله والشكر على العافيه يخترق الموقع منشان وظايف نفسيات


الله يكسر ايديه آمين هذا مفسد !!!!!! مايستاهل ولا وظيفة بلدي اعزكم الله
المهره غير متصل   الرد باقتباس
قديم(ـة) 30-07-2008, 07:05 PM   #34
 
صورة اللون السابع الرمزية
 
تاريخ التسجيل: Nov 2005
البلد: أبعد مما تتصور
المشاركات: 658
قوة التقييم: 0
اللون السابع is on a distinguished road
اقتباس:
المشاركة الأساسية كتبها GPL مشاهدة المشاركة



بكل بساطه إستطاع الوصول لحساب الآدمن من هنا

http://www.mol.gov.sa/mol_site/asp_pages/news/body.asp?field=tech_news&id=[SQL]

الموقع مليء بالـSQL injection يستطيع حتى إدراج الكود من دون دخول لوحة التحكم بإستخدام جمل الـ update

أخي اللون السابع أنا لا أدافع عنلإختراق ولكن أريد أن تقتنع فقط أن المواقع الحكومية والخدماتيه ليست على المستوى المطلوب من الإهتمام

أحس اننا قلبنا الموضوع سواليف وبيشوتنا صاحبه ككككككككك

شاكر لكـ عزيزي
هلا فيك حبيبي قلبي ,,

لفترض أنه وصل لمستوى عالي من الإحترافية , حتى وإن كان الـ index ضعيف ومبتدئ .. قد يكون في عجل

لنفترض أنه أستغل ثغرة SQL injection
واستطاع الربط عن طريق الأمر
رموز PHP:
UNION SELECT null/* 
أو حتى null2
لفترض أنه فعلها
بعدها استعلمَ عن الجدول بهذا
رموز PHP:
1'UNION SELECT null,DATABASE()/* 
وحصل على مايريد ,,
رموز PHP:
1'UNOIN SELECT null,password /* 
وحصل على اليوزر
رموز PHP:
1'UNOIN SELECT null,password WHERE user='admin' /* 

لكن ياعزيزي SQL injection غير مجدية في جلب الباسورد MD5 .. حتى لو تم استخدام load_file()



هذه كلها فرضيات لا أكثر
الا تعتقد بأن شخصاً وصلَ لهذا المستوى بإستطاعته أن ينهي الوضع كاملاً ,,!!


انا معك بأن المواقع الحكومية لدينا أقل بكثير من المستوى المطلوب , ولكن حديثي عن هذا المخترق لا عن غيره !


أشكرك ياصديقي , وأعذرني قد لا أتواصل بحكم السفر
__________________

اللون السابع غير متصل   الرد باقتباس
قديم(ـة) 30-07-2008, 07:52 PM   #35
GPL
Linux3r
 
تاريخ التسجيل: Mar 2008
المشاركات: 759
قوة التقييم: 0
GPL is on a distinguished road
اقتباس:
المشاركة الأساسية كتبها اللون السابع مشاهدة المشاركة
هلا فيك حبيبي قلبي ,,

لفترض أنه وصل لمستوى عالي من الإحترافية , حتى وإن كان الـ index ضعيف ومبتدئ .. قد يكون في عجل

لنفترض أنه أستغل ثغرة SQL injection
واستطاع الربط عن طريق الأمر
رموز PHP:
UNION SELECT null/* 
أو حتى null2
لفترض أنه فعلها
بعدها استعلمَ عن الجدول بهذا
رموز PHP:
1'UNION SELECT null,DATABASE()/* 
وحصل على مايريد ,,
رموز PHP:
1'UNOIN SELECT null,password /* 
وحصل على اليوزر
رموز PHP:
1'UNOIN SELECT null,password WHERE user='admin' /* 

لكن ياعزيزي SQL injection غير مجدية في جلب الباسورد MD5 .. حتى لو تم استخدام load_file()



هذه كلها فرضيات لا أكثر
الا تعتقد بأن شخصاً وصلَ لهذا المستوى بإستطاعته أن ينهي الوضع كاملاً ,,!!


انا معك بأن المواقع الحكومية لدينا أقل بكثير من المستوى المطلوب , ولكن حديثي عن هذا المخترق لا عن غيره !


أشكرك ياصديقي , وأعذرني قد لا أتواصل بحكم السفر

اهلاً بكـ أخي الغالي اللون السابع ..اسعدني النقاش معك ..لكن تمنيت أن يكون بمكان آخر ولا يكون على حساب الموضوع نفسه , بالنهايه هو مجرد ايصال لوجهات النظر وامكانية الوصول للموقع الخاص بوزارة العمل


لكن لدي تعليق بسيط على بعض النقاط


اقتباس:
لنفترض أنه أستغل ثغرة SQL injection
واستطاع الربط عن طريق الأمر
رموز PHP:
UNION SELECT null/* 
أو حتى null2
لم أفهم ماهي الـnull2 ?! عندما نستخدم كلمة Null داخل الاستعلام فهي بمعنى فارغ لا تعطي أي قيمه للحقل

فهي مجرد وسيلة لدى البعض في تحديد عدد الحقول أو في إعطاء قيمة للحقل الذي لا يستخدمه وإن اختلفت الطرق في تحديد الإستعلام الأصلي المستخدم في نفس السكربت

مثلها مثل الأرقام عندما تكتب select 1,2,3,4 .......


اقتباس:
بعدها استعلمَ عن الجدول بهذا
رموز PHP:
1'UNION SELECT null,DATABASE()/* 
وحصل على مايريد ,,
هنا استخدمت الداله database() بطريقه خاطئه فهي تحدد اسم القاعده ولا تعطيك اسم الجداول ابداً

ولا تستطيع استخدامها مع موقع الوزارة فالموقع يستخدم لا يستخدم الـ mysql

اقتباس:
رموز PHP:
1'UNOIN SELECT null,password /* 
وحصل على اليوزر
رموز PHP:
1'UNOIN SELECT null,password WHERE user='admin' /* 
اعتق ان ماكتبته مجرد افتراض ؟؟ فهناك فروق بين كل موقع وآخر وقاعدة بيانات وأخرى ولغة البرمجه للسكربت ؟؟

فبنهاية كل استعلام قمت باستخدام /* في غير موضعها فالسكربت هنا asp ولقفل الإستعلام وتعليق الباقي منه استخدم --

اقتباس:
لكن ياعزيزي SQL injection غير مجدية في جلب الباسورد MD5 .. حتى لو تم استخدام load_file()

بالنسبه للباسورد اذا كان مشفر MD5 فلا فرق بينه وبن غيره ...فهو يخزن في قاعدة البيانات على حالته بعد التشفير

وتتعامل معه القاعده وكأنه الرقم المدخل ...

فلنفرض انك قمت بالتسجيل في اي موقع فسيتم تشفير كلمة المرور باستخدم دالة MD5 وتصبح كأي قيمه أخرى مشفره تتكون من 32 بت يتم تخزينها بالقاعده

وهي غير قابله للفك لأنها معادله باتجاهـ واحد ولكن يتم تخمينها فقط بالمقارنه

عندما تريد تسجيل دخولك وتدخل كلمة المرور ..فإنه يتم تشفير القيمه المدخله بنفس المقياس ومقارنتها مع الكلمه المشفره في القاعده


فلا فرق عندما تكون MD5 أو غيرها ....فهي مجرد قيمه مدخله للقاعده

مثلها مثل الرد هذا


أيضاً ذكرت load_file() وقلت انها غير مجديه لجلب الباسورد

نعم هي غير مجديه مادام الباسورد داخل القاعده ...كيف تستخدم داله مخصصه لعرض الملف من أجل الحصول على قيمة في القاعده !!

load_file()
تستخدم لقراءة الملفات مثل /etc/passwd وأي ملف آخر مادامت صلاحياتك تسمح بذلكـ


ماذكرته بالأعلى يتماشى جزئياً مع موقع يستخدم php وليس asp


اعتذر لكـ اخي اللون السابع فأنا لا أجادلكـ ولكن أعرض وجهة نظري , لكـ اخذها وقبولها أو ردها ...
GPL غير متصل   الرد باقتباس
قديم(ـة) 30-07-2008, 09:10 PM   #36
وللنفس بهجه
 
صورة HOLSTEN الرمزية
 
تاريخ التسجيل: Oct 2007
البلد: ... Loadaing
المشاركات: 12,458
قوة التقييم: 0
HOLSTEN has a spectacular aura aboutHOLSTEN has a spectacular aura aboutHOLSTEN has a spectacular aura about
Thumbs up


.
.



والله لو تبتلون تناقشون أحسن

من جد والله نقاش علمي بحت لكن رائع جداً وممتع في آن واحد

لم أهتم أبداً في صلب الموضوع وإن كنت سعدت بذلكـ

لكن عندما بدأت في قرآة الردود نسيت لم الموضوع ولم يعد ذا أهمية لدي

شكراً لكما

.
.

__________________
HOLSTEN غير متصل   الرد باقتباس
قديم(ـة) 12-08-2008, 03:49 AM   #37
عضو
 
تاريخ التسجيل: Jul 2008
المشاركات: 9
قوة التقييم: 0
D.HacKeR is on a distinguished road
اي اكواد تحويل الله يجزاك خير
حنا وين والكودات والشل وين

الوا ت مستر مناله

هـ . مـ
D.HacKeR غير متصل   الرد باقتباس
قديم(ـة) 12-08-2008, 03:59 AM   #38
عضو ذهبي
 
تاريخ التسجيل: Apr 2008
البلد: فى قلب امي الحبيبه
المشاركات: 2,209
قوة التقييم: 12
"هلالي وافتخر" is on a distinguished road
هههههههههههههههه

حلوه
"هلالي وافتخر" غير متصل   الرد باقتباس
قديم(ـة) 12-08-2008, 04:35 AM   #39
GPL
Linux3r
 
تاريخ التسجيل: Mar 2008
المشاركات: 759
قوة التقييم: 0
GPL is on a distinguished road
.........................

آخر من قام بالتعديل GPL; بتاريخ 12-08-2008 الساعة 04:48 AM. السبب: خايف ككككككك
GPL غير متصل   الرد باقتباس
قديم(ـة) 12-08-2008, 04:43 AM   #40
عضو
 
تاريخ التسجيل: Jul 2008
المشاركات: 9
قوة التقييم: 0
D.HacKeR is on a distinguished road
صحيح تدقيقك اخوووي لكن ال؟؟؟ غير لانها ..

21Gs

اعتقد انه واضحه الحين

آخر من قام بالتعديل D.HacKeR; بتاريخ 12-08-2008 الساعة 04:45 AM.
D.HacKeR غير متصل   الرد باقتباس
إضافة رد


يتصفح الموضوع حالياً: 1 (0 من الأعضاء و 1 من الزوار)
 
أدوات الموضوع
طريقة العرض

قوانين المشاركة
لا يمكنك إضافة مواضيع
لا يمكنك إضافة ردود
لا يمكنك إضافة مرفقات
لا يمكنك تعديل مشاركاتك

رمز [IMG] متاح
رموز HTML مغلق
Trackbacks are متاح
Pingbacks are متاح
Refbacks are متاح


مواضيع مشابهة
الموضوع الكاتب المنتدى الردود آخر مشاركة
وصايا مهمة لعامة الأمة,,,,محاضرة قيمة جداًً السحب الوابلة المنتدى الدعوي و الأسرة والمجتمع 8 06-08-2010 04:38 PM
إلا الظلم يا إخواني فإنه هلاك عظيم . سفير الأشراف المواضيع المنقولة وأخبار الصحف والوطن 5 20-07-2008 10:01 AM
من هو مصمم العلم السعودي سؤالا يجب الاجابة عليه !! ارض الجليد المواضيع المنقولة وأخبار الصحف والوطن 7 07-07-2008 02:55 AM


الساعة الآن +3: 12:37 AM.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
SEO by vBSEO 3.6.0 ©2011, Crawlability, Inc.
هذا المنتدى يستخدم منتجات بلص

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19