۩۩۩۩ سد ثغره خطيره فى منتديات الأيببى۩۩۩۩

[cu95]

ثغره تتيح للمخترق بأستخراج بيانات الأدمين والباسورد من قاعدة البيانات

حقن الداتا بيز -----

sql injection

وطلع على الموضوع ده اكتر من خمسة اكسبلويت

عن طريقه بيجيب اسم الادمن والباص ورد بتاعه

الابديت الامنى للنسخه 2.1.xx
و 2.0

من هنا

http://www.arabheaven.com/forums/ind...howtopic=14522

وظيفة الابديت منع حقن الداتا بيز
وكما ورد من الشركه

كود:

* A bug in Internet Explorer 5.0+ which allows a JPEG image to be uploaded with a GIF header containing malicious HTML / javascript code. (IPB 2.1.x only)

http://forums.invisionpower.com/inde...owtopic=213374

ارجو الاهتمام يا جماعه

وهنا بقى ابديت تانى مهم جدا لسا نازل انهارده على Invision Power Board

الموقع الرسمى بواسطة مبرمج الشركه bfarber

ولنفس المشكله SQL INJECTION attacks

ما ورد هو الاتى

افتح sources/action_public/moderate.php

ابحث عن

function get_pids()
{
$ids = array();

$ids = explode( ',', $this->ipsclass->input['selectedpids'] );

if ( count($ids) < 1 )
{
$this->moderate_error('cp_err_no_topics');
return;
}

return $ids;
}

استبدله بالاتى

function get_pids()
{
$ids = array();

$ids = explode( ',', $this->ipsclass->input['selectedpids'] );

if ( count($ids) < 1 )
{
$this->moderate_error('cp_err_no_topics');
return;
}

$ids = $this->ipsclass->clean_int_array( $ids );

return $ids;
}

ابحث عن

function get_tids()
{
$ids = array();

$ids = explode( ',', $this->ipsclass->input['selectedtids'] );

if ( count($ids) < 1 )
{
$this->moderate_error('cp_err_no_topics');
return;
}

return $ids;
}

استبدله بالاتى

function get_tids()
{
$ids = array();

$ids = explode( ',', $this->ipsclass->input['selectedtids'] );

if ( count($ids) < 1 )
{
$this->moderate_error('cp_err_no_topics');
return;
}

$ids = $this->ipsclass->clean_int_array( $ids );

return $ids;
}

كل اللى معملش الابديت يعمله حالا + البج فيكس

التحديثين جاهزين لأستبدال الملفات للنسخه 2.1.5 فى المرفقات

فقط أذا كنت تستخدم نسخه 2.1.5 قسم بأستبدال الملفات اللى فيهم التحديثات اللى ذكرت أول الموضوع

وأذا كنت تريد تثبيت نسخه جديده بأستخدام أصدار 2.1.5 يمكنك قبل تنصيب النسخه بأستبدال الملفات ويبقى عندك سورس 2.1.5 خالى من الثغرات بامر الله

ولكل الأعضاء خالص الحب والتقدير

منقول للأهمـيــــــــه

[sami1706]

يعطيك العافية أخي cu95 صراحة ما قصرت

[الجياش]

تسلم

لا , ويقولون انه احسن من الـ vb

[جريح الحب]

تسلم

لا , ويقولون انه احسن من الـ vb

وكان فيه انجكت قديم في الإيميلات

وعلى كلامة ازين من الفيبي

[cu95]

وكان فيه انجكت قديم في الإيميلات

وعلى كلامة ازين من الفيبي

أولا مواقع السكيورتى هى التى اكتشفت الثغره وقبل ما تنزل الأكسيبليوت الخاص بها واداوت الهاكرز اللازمه لاختراق بواسطة هذه الثغره قد بلغت الشركه لان مواقع السكورتى ( الهاكرز شغاله بمنتديات الأيببى فهما مش هينزل أكسيبليوت قبل ما يدوروا على ترقيع الثغره ويبلغوا الشركه ) يعنى الثغره ملحقتش :nice:

ثانيا مش منتدى أنفيشون بورد هو اللى بيهمل فى الدعم الفنى للأعضاء ويسبهم بال 6 أشهر فى ثغرات كثيره ومنها ما تساعد فى رفع ادوات شيل مما تؤدى لاختراق السرفرات مثلما تعودنا من منتديات الفيبولتين فى موضوع ثغراته

اما الثغرتين بعد اكتشفهم ب 6 ساعات تم انزال ترقيع لهما وهذا أبلغ دليل على أهتمام الدعم بالعملاء وشكرا على متابعتك واهتمامك وان دل ذلك يدل على أنك أنسان تريد فعلا أن تبحث وتابع معنا هتعرف كل جديد إن شاء الله فى منتديات الأيببى إن رغبت
وتحياتى لك ولجميع الأعضاء واتمنى ان أكون قد وفقت فى عرض الموضوع بصوره واضحه :shy:

[جريح الحب]

ثانيا مش منتدى أنفيشون بورد هو اللى بيهمل فى الدعم الفنى للأعضاء ويسبهم بال 6 أشهر فى ثغرات كثيره ومنها ما تساعد فى رفع ادوات شيل مما تؤدى لاختراق السرفرات مثلما تعودنا من منتديات الفيبولتين فى موضوع ثغراته

يرفع شل؟

ممكن توضح

[cu95]

وكنت متأكد من انكم سوف تردوا هذا الرد وعلى الرغم من ذلك انا لا أقبل أن اهمل من الدعم الفنى لمنتديات الفيبولتيتن بال 6 أشهر ويكون منتدى عرضة وأرض خصبه خلال هذه الفتره للهاكرز والقراصنه وكمان لا اقبل أن أكون محدث النهارد النسخه وكل يوم انزل نسخه نحن نريد الثبات والقوه power board

[سفر]

نعم اخي جريح بثغرة اكتشفها اخوي العندليب

بس تعتمد على كذا شغله مثل الـ register_globals لازم تكون مفعله وان الأدمن يكون مفعل خاصيه وشغلانه

ولكن هذا مو مقياس على فشل الـ vb بالعكس فهو الأفضل بلا منازع

:nice:

[cu95]

نعم اخي جريح بثغرة اكتشفها اخوي العندليب

بس تعتمد على كذا شغله مثل الـ register_globals لازم تكون مفعله وان الأدمن يكون مفعل خاصيه وشغلانه

ولكن هذا مو مقياس على فشل الـ vb بالعكس فهو الأفضل بلا منازع

:nice:

ياعنى لما عضو قديم كده مثل حضرتك يقول أن هى ديه الثغره الوحيده اللى بيترفع بيها الشل فى منتديات الفبى بولتين يبقى هو أساسا مش متابع الجديد أقولك من خليهم 2 ثغرات فى منتديات الفبى يمكنك من خللها رفع أدوات (شل) الهاكرز والسيطره على السرفر باكمله لأ لأ أخر كلام بقى ومن الأخر 7 ثغرات وكان فى واحده فى الأصدار 3.51 اللى صادر من كام يوم أصل الفبى كل 24 ساعه ينزل نسخه ويزود فيها أوبشن بسيطه جداا علشان يسوق اما سد الثغرات فهما سيبنها للعرب يتصرفوا لانهم شركه يهوديه ولو العرب أكتشافوها يبقى خلاص يبقى علموهم شىء ولو ما اكتشفوها خلاص نبقى ننزل ترقيع متاخر شويه علشان نبحث فى الداتا بيز بتعتهم ونشوف أيه الموضوعات اللى بيقولها بينهم وبين بعضهوم وبعد كده نبقى نزل ترقيع ثغره

والله فى ثغرتين فى منتديات الفبى تم سدهم بعدها بعام كامل...........,ولاتعليق....
وانا من وجهة نظرى ان من يدافع عن الفبى بلوتين أما جاهل بالأمن والسكيورتى أو أما خائف من الدخول فى منتدى اخر ويقول لا انا اللى اعرفه احسن من اللى معرفوش ومنهم

ومن يروج أكثر للفبى بولتين هم مواقع التى تبيع الأستيلات وهذه هى المشكله بدل ما يتعلموا يعملو ا أستايل لأى منتدى يقوللك لا الفبى حلو الفبى كويس الفبى عربى الفبى فى مواقع دعم كتير.....وناهيكم عن سعر الأستايل اللى وصل 5000 ريال وه لا يساوى فى زمة سوى لوم من صنعه ...
وللأسف هم يضحكون على عقول المبتدأين فى عالم المنتديات والمقدمين عليها واعتقد أنى أريد الخير لينا جميعا ووالله لو نزلت ثغره فى الفبى وبعطون المسكنات للناس القدامى اللى بيحاولوا يهربوا منهم أصل أن انت مجتلوش تشترى دلوقتى هتجيلوه يوم وهيعجبك أستايل وتشترى بصراحه منطق غريب غريب

[جريح الحب]

نعم اخي جريح بثغرة اكتشفها اخوي العندليب

بس تعتمد على كذا شغله مثل الـ register_globals لازم تكون مفعله وان الأدمن يكون مفعل خاصيه وشغلانه

ولكن هذا مو مقياس على فشل الـ vb بالعكس فهو الأفضل بلا منازع

:nice:

ياا اخي انا فاهم قصدك زين

بس ابيه هو يوضح لأنه باين انه يسمع بس
وبالنسبة للرجيستر قلوبال

استحاله ترفع ملف إلا إذا كان يوزر القاعدة معاه صلاحيات انه يدخل على كامل الإفتي بي

يعني بالعربي يوزر الموقع

وهذا من اشد أنواع الغباء الأكتروني ان الواحد يخلي القاعدة تتصل بيوزر الموقع

لأنك لو غيرت باسورد الموقع رايح يتعطل الإتصال بالقاعدة

[ليبي مكافح]

شكراً لك أخي وتم سد الثغرة ، وأنا من مؤيدي الــIPB قلبا ً وقالبا ً


وفي طريقنا إلى الترخيص رغم أن سعره أغلى من الـvb
.
وبالتوفيق.