طرز پنهان کردن دامین اصلی

فرض کنید شما یه سایت دارید مثل وبلاگ من. بعد میخواید جاهای خاصی ازش استفاده های خاصی بکنید. مثلا ممکنه بخواید یه برنامهء مخفی یجا کار بذارید که با اسکریپتی روی سایت شما ارتباط برقرار میکنه کار خاصی انجام میده. حالا اون کار میتونه هرچی باشه میتونه برنامه هک باشه میتونه جاسوسی باشه میتونه فیلترشکن باشه میتونه یه برنامهء عادی باشه واسه کارهای خودتون باشه، ولی موضوع اینه که شما به هر علتی میخواید هویت اصلی سایت خودتون رو از اشخاصی که ممکنه بصورت تصادفی آدرس دامین شما رو از توی اون برنامه و تشکیلات بدست بیارن پنهان کنید.

مثلا من الان از سایتم برای بعضی موارد در محل کارم استفاده میکنم و مثلا توی گزینه های کانفیگ بعضی برنامه ها بنابراین آدرس دامین خودم رو درج کردم، ولی نمیخواستم کسی اگر اون آدرس رو دید بعد بیاد آدرس دامین ام رو توی مرورگرش وارد کنه و وبلاگ منو ببینه.

خب برای رسیدن به این هدف این چی کار کردم، در اینجا توضیح میدم:

اول باید یک دامین جداگانه برای اون کارهای خاص که میخواید انجام بدید درست کنید. مثلا فرض کنید الان من برای سایتم یک دامین دیگر هم درست کنم بنام tmp-domain786.tk

بعد میام تمام اون اسکریپت های خاصی رو که توی برنامه ها در محل کارم استفاده میکنم، فقط تحت یک پوشهء خاص بنام مثلا scripts786 روی سایتم قرار میدم.

بعد میام و در ریشهء سایتم در فایل ‎.htaccess این کدها رو قرار میدم:

RewriteEngine On
RewriteCond %{HTTP_HOST} tmp-domain786.tk$ [NC]
RewriteCond %{REQUEST_URI} !^/scripts786/ [NC]
RewriteRule .* - [F,L]

این کدها باعث میشن کسی که از دامین tmp-domain786.tk اطلاع پیدا کرده، اگر tmp-domain786.tk رو در مرورگرش وارد کنه با خطای دسترسی مواجه بشه و سایت اصلی شما رو که روی دامین اصلی شماست مشاهده نکنه. این دستورات تنها درخواست آدرسهایی رو که تحت پوشهء scripts786 باشن اجازه میده.


ویرایش: اخیرا متوجه شدم که دامین های tk که خطای سرور/دسترسی بدن بعد از مدتی بصورت خودکار حذف میشن، بخاطر همین خط آخر رو به این صورت تغییر دادم:
RewriteRule .* /other/fake_index.php [L]
fake_index.php یک صفحهء ایندکس قلابیه که توش هرچی خواستید میتونید بذارید.


ضمنا نکتهء امنیتی دیگر که البته مستقیما به این مطلب مربوط نیست اینکه، احتمالا شما میخواید که یک فایل ایندکس خالی هم در پوشهء scripts786 بذارید تا اگر کسی آدرس این دایرکتوری رو در مرورگرش وارد کرد نتونه لیست محتویات اون رو ببینه و به پوشه ها و اسکرپیتهای دیگری که ممکنه در این دایرکتوری باشن پی ببره.

ضمنا اگر نیاز باشه میشه این کدها و تشکیلات رو تغییر داد تا مثلا بجای خطای دسترسی یک سایت و صفحهء قلابی به طرف نشون داده بشه با هر محتویاتی که شما میخواید و غیره.

در پایان بگم که البته من مطمئن نیستم این روش تا چه حد در برابر افرادی که بقدر کافی حرفه ای و سمج باشن امنه و در این مورد تحقیق نکردم، اما برای هدف من و موارد عادی فکر میکنم کاملا کفایت میکنه و جلوی فضولی و اطلاع دیگران از سایت شخصی شما بدون خواست خودتون رو میگیره.

2 دیدگاه در “طرز پنهان کردن دامین اصلی

  1. یک مورد دیگه که هست کاربر میتونه با یک اسکریپت ساده یکی یکی آدرس ها رو چک کنه تا پوشه رو پیدا کنه
    باید داخل پوشه هم فایل .htaccess باشه تا از دیده شدن محتویات خارج از دامنه مخصوص جلوگیری کنه .

    • بله میشه بهش تمهیدات دیگری مثل چیزی که شما میگید رو هم اضافه کرد. ولی من هدفم فقط این بود که کسی با اون دامنهء دوم نتونه سایت اصلی رو ببینه.
      ضمنا اسکریپت هایی هم که توی اون پوشه میذاریم بهرحال میتونیم ترفندهای دیگری هم بزنیم که شناسایی اونا با حدس یا Brute-force مقدور نباشه. مثلا اسم پوشه ها و فایلها رو میشه رشته های رندوم بقدر کافی طولانی قرار داد (بنده از این روش در یک موردش استفاده کردم)، و همچنین میشه اسکریپت ها رو با پارامترهای کلیدی مخصوصی فراخوانی کرد که بدون اون پارامترها و کلیدهای خاص توی اسکریپ چک بشه و اگر مقدارش درست نبود اسکریپت اجرا نشه و غیره. ضمنا پیدا کردن دامنه های دیگر یک سایت (بخصوص از نوع Alias) که فکر نمیکنم کار سختی باشه!

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

شما می‌توانید از این دستورات HTML استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>