النتائج 1 إلى 8 من 8

الموضوع: [ حلول ] جميع ثغرات الـ vBulletin Version 3.0.3

  1. #1
    عضو نشيط جدا
    تاريخ التسجيل
    Dec 2004
    المشاركات
    503

    [ حلول ] جميع ثغرات الـ vBulletin Version 3.0.3



    السلام عليكم ورحمة الله وبركاته

    بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها :
    =================================================
    1- ثغرة ملف التعليمات faq.php :
    وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
    أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .


    الترقيع للثغره :

    * افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:


    كود PHP:
    // initialize some template bits
    $faqbits '';
    $faqlinks ''

    *أضف بعدها مايلي:

    كود PHP:
    $navbits[''] =$vbphrase['faq']; 

    * إحفظ الملف.

    =================================================

    2-ثغرة ملف editpost.php :
    وهي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز
    المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
    ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
    الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )

    الترقيع:

    * قم بفتح ملف editpost.php وابحث عن السطر التالي:


    كود PHP:
    $edit['title'] = trim($_POST['title']); 

    * استبدله بهذا السطر:

    كود PHP:
    $edit['title'] = trim(xss_clean($_POST['title'])); 


    * احفظ الملف .

    =================================================

    3- ثغرة ملف authorize.php:
    وهي ثغره من نوع SQL Injection.

    وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
    وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل وهنا بعض التفاصيل عن الثغره:
    http://www.securiteam.com/unixfocus/5BP0E15E0M.html


    =================================================

    4- إذا كانت لوحة تحكم المشرف العام مفتوحه
    للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
    عن طريق htaccess .
    ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
    بعدها قم بفتح ملف config.php وابحث عن كلمة admincp
    وضع بدلاً منها اسمك الجديد .


    =================================================


    5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط .


    هذا مالدي ودمتم

    جزى الله خير اخونا العندليب على هذه التنبيهات ...

    تحياتي للجميع

    منقول من الاخ الوافي







  2. #2
    عضو نشيط جدا
    تاريخ التسجيل
    Dec 2004
    المشاركات
    503


    * يوجد هناك ايضاً ثغرة ( العشرة مواضيع ) ( ttlast.php )

    الثغره موجود في نفس السكربت الذي ذكرته في المتغير $ftitle

    والبرهان على ذلك هذا المثال :
    http://www.mnf1.com/forum/last10.php?ftitle=al3ndaleeb

    قم بعرض مصدر الصفحه حتى ترى رسالة الخطأ التاليه بين السطور :



    واعذروني على عدم ذكر الاستثمار لهذه الثغره الجديده
    حتى لا يقوم أحد أطفال النت بأخذها وتطبيقها
    على المواقع العربيه المصابه .


    طريقة تسكير الثغره القديمه والجديده سهل جداً بدون أي مجهود .

    قم بفتح ملف ttlast.php وابحث عن المتغيرات التاليه:

    $fsel
    $ftitle

    وقم بحذفها من جملة الاستعلام واحفظ الملف وانتهى كل شي يخص الثغرتين .


    اكتشاف الثغرات اصبح جل اهتمامي فاعتقد ان الكثير من الاخوة هنا والذين يتابعون اخبار السيكيورتي في المواقع المخصصه
    لها قرأوا عن بعض الثغرات التي اكتشفتها وهذه أخر ثغره
    قمت بنشرها على هذا الرابط :


    http://www.securiteam.com/unixfocus/5BP0E15E0M.html

    في النهايه لا يسعني الا أن أشكركم على قراءة هذا الاعلان



    تحياتي لكم


    أخونا العندليب جزاه الله خير ..[/COLOR][/RIGHT][/QUOTE]






  3. #3
    عضو فعال جدا
    تاريخ التسجيل
    Jun 2004
    المشاركات
    2,297
    __________________
    شبكة شباب سوفت للبرامج
    http://www.sh2soft.net

    قال الله تعالى: ( ومن يتق الله يجعل له مخرجاً، ويرزقه من حيث لايحتسب)

  4. #4
    عضو نشيط جدا
    تاريخ التسجيل
    Dec 2004
    المشاركات
    503


    نسيت

    اقول لكم منقووول من الوافي






  5. #5
    عضو نشيط جدا
    تاريخ التسجيل
    Dec 2004
    المشاركات
    503


    العفووو حبيبي عقبه

    خخخخخخ

    الظاهر خرطبت

    وحطيته بقسم التطوير

    اتمني من المراقبين

    النقل






  6. #6
    عضو نشيط جدا
    تاريخ التسجيل
    Dec 2004
    المشاركات
    503


    up


    up


    up






  7. #7
    عضو نشيط جدا
    تاريخ التسجيل
    Dec 2004
    المشاركات
    503


    up


    up



    up






  8. #8
    عضو نشيط جدا
    تاريخ التسجيل
    Dec 2004
    المشاركات
    503


    up


    up



    up










ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا|شقق للايجار في الكويت | بيوت للبيع في الكويت | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض