حماية مراكز التحميل من رفع شلات php

السلام عليكم اخواني هذا اول موضوع اشارك به في هذا المنتدى الجميل و ان شاء الله لن يكون الأخير :stuck_out_tongue:

اود اليوم ان اتقاسم معكم فكرة بسيطة في حماية مراكز التحميل بحيث حتى لو ضهرت ثغرة shell upload راك يطبعها الهكرز على ورقة و ينقعها في الماء و يشربها عصير

الفكرة بسيطة تقتضي تعطيل عمل البي اش بي في ملجد الذي ترفع اليه الملفات عن طريق ملف htaccess الجبار و المليئ بالأسرار ddd

الكود :

php_flag engine off

و اتحدى اي واحد يشغل الشل :rolleyes:

بالنسسبه ثغرات مراكز الرفع كثيره ولا تعد ولا تحصى

وانت بهذا الموضوع … افدت الكثير

الشكر موصول لك
تمنياتي لك

جميل اخي القط :slight_smile:

يشتغل الشل عادى

تستطيع رفع htaccess فارغ يلغى الهاتكسس الاول

وطرق عديدة للتخطى مثلا ثغرات csrf add admin

# Protect all files and directories
Order deny,allow
Deny from all

# Allow cached images
<Files ~ "^(.*)\.(png|gif|jp[e]?g)$">
  Order deny,allow
  Allow from all
</Files>

بس هدا راح يشغل بس png و gif و jpg

و الهتكساس نديه تصريح 600 عشان حتا لو حملة ملف هتكساس يمنع لاستبدال

:slight_smile:

@BrOx-Dz انت تعمل في الضروف المثالية
هل يوجد مركز لرفع انت تختار فيه اسم الملف ؟
و لنقل انك تختار اسم الملف كما قال الأخ ريمون ان اعطيته التصريح المناسب لن يتمكن من استبداله :slight_smile:

يمكن منع رفع ملف بإسم .htaccess في سكريبت التحميل

 
<?PHP
// Where the file is going to be placed 
$target_path = "uploads/";
$target_path = $target_path . basename( $_FILES['uploadedfile']['name']); 
if(basename( $_FILES['uploadedfile']['name'])==".htaccess")
echo  "invalid file";
?>

@Aboukateda شكرا على الاضافة لكن في مراكز الرفع غالبا لا يتم اختيار اسماء عشوائية و في اسوء الحالات يتم اختيار الاسم حسب التوقيت و التاريخ

و الهدف من هذا الموضوع اضهار كيفية تعطيل ال php لزيادة حماية مركز التحميل حيث حتى لو رفع مهما كانت صيغته لن يعمل و هذا الاعداد البسيط طبعا ليس وحده من يحمي الموقع بل يضيف الى الحماية حماية :slight_smile:

شكراً عالموضوع خويا القط ، منع الامتدادت اخواني لا يمنع من تشغيل الـphp لهذا بعض سكربتات التحميل تمنع كود بي اش بي في اي ملف تحاول رفعه