مرحبتين
سكربت inverseflow لتذاكر الدعم الفنى من تعريب ابو منار
منتشر جدا وذلك لكثرة الامكانيات المميزه التى يحتويها
اليوم وجدت محاولات إختراق عن طريقه تتلخص فى ان السكربت يخزن إفتراضيا المرفقات فى مجلد files الذى يتم اعطائه التصريح 777 عند تثبيت السكربت
وكل مرفق تابع لتذكره جديده يضاف فى مجلد جديد يحمل رقم " بحيث كل رقم يليه ليس الرقم التالى ولكن الرقم الذى يليه
يعنى مثلا : 14 16 18 وهكذا
بما يجعل الامرسهل على المخترق تجربة الارقام بالتسلسل الى ان يصل الى اسم المجلد الذى قام برفع ملف الشيل فيه ومن ثم يستخدم الشل :con2:
ولا يوجد فى السكربت طريقه لمنع امتدادات معينه
ولا يوجد به منع الرفع للأعضاء والسماح به لفريق العمل
==========
فكان الحل الوحيد هو تغيير مسمى المجلد files الى اى اسم أخر :
مثلا dev4arab
وتغيير المتغير المقابل له فى ملف include.php كما بالصوره
وتغيير اسم ملف login.php بالمره الذى يستخدم فى تسجيل الدخول الى لوحة تحكم السكربت
وكتابة تلك المتغيرات فى ملف include.php