خطورة تفعيل الـ html ( للمطورين فقط )

[Ziad]

السلام عليكم

يعطيك العافية اخوي العندليب ،

كرأي شخصي
أعتقد ان خطورة Html تكمن في عدة نقاط ومنها :
إظهار الكوكيز وبنفس الوقت الباسوورد مشفر md5

يمكن استغلاله بطرق عدة كفك التشفير .. واعتقد صعبة نوعاً ما مع بعض كلمات السر

وايضاً بطريقة اخرى كزرع الكوكيز ..

لو استطعنا تمكين Html في المنتدى ، مع إمكانية اغلاق بعض الtags ( وهذا امر صعب لكثرة الtags ) ..

لو استعطنا حصر الtags الضرورية على الاقل لتسهيل الكتابة كما ذكرت سابقاً كالنسخ والصق من الوورد ، وتفعيلها فقط وأي tag غيرها يكون معطّل ! ..

حقيقة في داخلي 99% متطمن من عدم القدرة على فك التشفير md5 وزرع الكوكيز .. الا بعض كلمات السر التي تكون قصيرة .. فيمكن فك تشفيرها ..

أحييك على هذه الخطوه وأتمنى أن تجد مبتغاك .. ولا تيأس ..

وياليت الشباب يذكرون مخاطر Html المحتمله .. الاخرى فقد تساعد على تكوين الفكرة ..

[العندليب]

وعليكم السلام يا أخ Ziad
والله يعافيك

عزيزي أنا أعلم أن الخطوره هي سرقة الكوكيز فسرقة الكوكيز لا تتم الا بوجود سكربت يتم تنفيذه في الصفحه ولذلك ذكرت النقطه الأولى .

ياليت ترك النقاش لعمالقة سوالف
الموضوع وصل الى 15 رد وما وصلنا بفائده :anger2:


شكراً لكم

[Estad]

شكرا للاستاذ العندليب على طرح هذا الموضوع

لو تذهبون الى موقع الـ في بي راح تلقون حتى هما معطلين خاصية الـ Html
http://www.vbulletin.com/forum/forumdisplay.php?f=101

ولما سألت المطور عندهم اللي اسمه Steve Machol
ليش واضعين هذه الخاصية وانتم الشركة ما تستعملونها اصلا..؟
رد علي وقال : نفتح هذه الخاصية فقط في الاقسام المغلقة
يعني الاقسام الادارية التي ليست مفتوحة امام الاعضاء
ولما سألته شنو تستفيدون منها في الاقسام المغلقة
قال لي : لعمل الاحصائيات وجداول الدراسه المنظمة بلغة الـ html




وبخصوص مشاركة الاخ شهاب :

بالنسبه لي اعتبر تفعيل الـhtml جداً مهم لو على الاقل يكون فيه هاك يسمح فيها للمشرف العام على الاقل

لان احياناً اكون ابي اضيف جدول في موضوع و يستحيل اضيف جدول الا اذا كان الـhtml مفعل
و كثير اشياء ممكن نسويها اذا سمحنا بالـhtml بس المشكله بالخطوره اللي تكمن فيها

و برمجة هاك تحمينا من استغلال الهاكرز بيكون جداً مهم و مفيد و بيخلينا نستفيد من خاصية
انرحمنا منها لفتره طويله جداً
يعطيك العافيه اخوي العندليب و بصراحه ماعندي اي اضافات على اللي ذكرت

و اكرر لك شكري

انا قبل مدة وضعت هاك للنسخة الاخيرة وهذا الهاك وظيفته هو فتح الـ html فقط للمشرف العام والمجموعات اللي انت تختارها
هاك جميل وقدرت اضع مواضيع منسقة بلغة الـ html للاعضاء
ابحث عن هذا الهاك هنا حيث قمت بتعريبه انا .


والله يعطيكم العافية

[محب الله ورسوله]

الله يوفقكم إن شاء الله

[NetWork]

مشكور اخى العندليب على التوضيح

[السريع]

موضوع مثل هذا يُستَحَق ان يُرفع !

بإنتظار تكملة النقاش فإن خرج بالنتيجة المطلوبة فسيكون من اعظم الإضافات للـ vBulletin ،،

[oO(الباسل)oO]

السلام عليكم .. اخوي عبدالرحمن اذا اردت الرد من المحترفين والخبراء عليك بقسم تطوير المواقع هناك ماشاء الله تجد مبتغاك من الحوارات والاستفاده .. ياليت ينسخ رابط لموضوعك هناك .. او تقوم بفتح موضوع جديد بنفس محتوى موضوعك .. واذا اردت الفائده اكثر واكثر اعمل بريد خاص بااستقبال بعض مشاركات الزوار لان هناك الكثير من متابعي سوالف لاكن الفرصه لم تسنح لهم بالمشاركه بالمنتدى
وبالتوفيق

[العندليب]

الحمدلله لقد قمت بعمل داله للفلتره أرجو إختبارها منكم وإبداء أي ملاحظات لتحسين الكوود.

الملف بالرابط التالي:
http://www.swalif.net/softs/attachme...chmentid=27482


طريقة التركيب على منتديات الـ vb الجيل الثالث إصدار 3,0
1- قم برفع ملف functions_custom.php الى مجلد Includes .

2- قم بفتح ملف functions.php وأبحث عن السطر التالي:

كود PHP:

error_reporting(E_ALL & ~E_NOTICE); 


2- أضف بعده السطر التالي :

كود PHP:

require_once('./includes/functions_custom.php'); 


3- قم بفتح ملف functions_newpost.php وأبحث عن السطر التالي :

كود PHP:

$post['message'] = trim($post['message']); 


4- إستبدله بالسطر التالي:

كود PHP:

$post['message'] = strip_Tag(trim($post['message'])); 


5- قم بتفعيل الـ html في المنتدى وقم بالتجربه بإدراج موضوع مكتوب بالـ html وبالأكواد الخطيره التي ذكرناها .


أرجو تجربة الكوود وإبداء أي ملاحظات ترونها مناسبه للتحسين.

[الباهوت]

بارك الله فيك وفي علمك يالعندليب
بختبر الكود لكن لاأتوقع اني أجد تحسين للكود بعدك

[HaMaDa4eVeR]

إبداع والله سلمت الانامل ،
وقمت بالتجربة ونجحت 100%

وقمت بتجربته على الـ 3.5 ونجح ايضاً
وسويت plug--ins له واذا سمحت لي سوف انزله
ولك التحية

[العندليب]

أخواني بارك الله فيكم على مروركم
أرجوا أن تنتبهوا أن الكوود لم يكتمل ويحتاج الى تطوير في نظري الشخصي
لذلك أطلب منكم الإختبار فقط وليس أخذ الكوود بارك الله فيكم

تحياتي لكم

[HaMaDa4eVeR]

والله فكرتك جميلة ولكن هنالك شي لابد من ذكره انه تفعيل الـHTML امر غاية في الخطورة وأن افضل طريقة هي تحميل الـtag التي تحتاجها الى bbcode

وكما قلت الكود في مرحلة التطوير واتمنى ان يساهم الجميع في تطويره وانا شخصيا سوف اقم بعدة اختبارات وحيل له ان شاء الله وسوف اخبرك بالنتيجة

اقترح لك اخي الفاض بمنع وسم الصور IMG
لان ممكن استخدامه كالاتي

كود HTML:

<IMG SRC="sws.gif" width="9999999"height="9999999" />

وايضا وسم link
واشكرك مجددا

[العندليب]

الاخ HaMaDa4eVeR

أشكرك على إضافتك

ومسألة فلترة الصور هذه سبق وأن أخبرني بها أحد الزملاء خصوصا الثغرات التي تتم عن طريق رمز src

ورمز link سيتم إضافته مع الرموز الأخرى

ومنتظرين نتائجك

أشكرك بعنف

[جريح الحب]

عندل يوجد تعارض مع هاكات الازرار مثل الماسي والسحري والاضافات

حيث يوقف الجافا خير شر

[العندليب]

عندل يوجد تعارض مع هاكات الازرار مثل الماسي والسحري والاضافات

حيث يوقف الجافا خير شر

جريح جريح واللي علمني المشي علمني كيف أطيح

نعم ياصديقي العزيز إن الكووود يزيل أي جافاسكربت من أي صفحة html لذلك قام بإزالة الجافا التي تستخدم في عمل كوود الشعر وأيضاً قام بإزالة الجافاسكربت الموجوده في التأثيرات النصيه مثل الإشعاع وأيضاً الفلاش والرييل بليير والميديا بليير .

لاحظ اننا لو إستطعنا على الوجه الأكمل من إزالة مخاطر الـ Html فسوف يظهر محرر جديد يضاهي عمله عمل برنامج Microsot Word ومشكلة رمز الشعر والرموز الأخرى التي ذكرتها ليست بالصعبه وليست بالمهمه الان .

أهم شي إزالة المخاطر من أي html

الكوود الحالي الذي تراه يوجد به ثلاثة مخاطر الان وهي :
1- المخاطر التي تأتي من الصور وخاصة رمز src .
2- رمز link كما ذكر لنا الأخ HaMaDa4eVeR حيث أن هذا الرمز يقوم بربط استايل اخر بصفحه أخرى وهذا يؤدي للعبث باستايل الموقع لذلك سيتم إدراجه مع الرموز الأخرى التي تزال أثناء الفلتره.
3- رمز اخر لم تذكروه وهو frameset ولهذا الرمز فنيات في تقسيم الصفحات ومخاطر أخرى في حقن الجافا سكربت والسكربتات الأخرى والتي هي شغلنا الشاغل في هذا الموضوع.

نريد تفاعلاً مع الموضوع أكثر و أكثر

شكراً لكم