ثغرة موجودة بنسبة 95% في المنتديات العربية

**N a i e f** · 14-06-2006

السلام عليكم ورحمة الله وبركاته

ارسل لي صديق موضوع يتكلم عن ثغرة منتشرة في المنتديات العربية بكثرة
من الأصدارة 3.0 إلى 3.5

و الثغرة من نوع XSS و يستطيع المخترق من سرقة الكويكز بواسطة ملف فلاش
يحمل كود جافا سكربت و يتم إرفاقه بالمشاركة أو التوقيع.

بدون ذكر الطريقة .. الترقيع يكون بـ

اغلاق تاج الفلاش اي لايسمح المنتدى بعرض الفلاش

او كتابة الأمر

AllowScriptAccess="never" nojava="true" في bbcode لعرض الفلاش

أو وضع الكود التالي في ال footer في اخر سطر

<noscript>
</noscript>

حتى لاتنفذ اي جافا سكريبت اخرى

أتمنى من الخبراء مناقشة الموضوع و تصحيح المعلومات المدرجة

**haamas** · 14-06-2006

السلام عليكم ورحمة الله وبركاته

اشكرك اخووي N a i e f على

تنبيه اخواني الاعضاء عن هذه الثغرة

الخطيرة

وشكرا

**محمد الثقفي** · 14-06-2006

الحل هذا صحيح

وقد قمت بنفسي بوضع الترقيع قبل فتره في منتديات الليزر باسم Snk1st

ملاحظه ليس من الضروره اغلاق تاج الفلاش

اجعل تاج الفلاش شغال لكن ضع الامر الاخر في ال bbcode

الفلاش يدعم الجافا سكريبت لكن ان وضعنا هذه المتغيرات في embed للفلاش لن تعمل الجافا سكريبت مهما كانت

وانا اعتمد الحل من موقع ماكروميديا نفسه بعد البحث عن سبل اغلاق الجافا سكريبت الاتيه من الفلاش

http://www.adobe.com/devnet/flash/ar...curity_09.html

تحياتي

**برونايل** · 14-06-2006

مشكووورين شباب

**fayz** · 14-06-2006

شكرا لكم

ولكن اخي MohDesign

اين نضع المتغير؟ أو كيف؟

**عبد الله هُربي** · 14-06-2006

جزاكم الله خير

**Smawi.com** · 15-06-2006

المشاركة الأصلية كتبت بواسطة N a i e f

او كتابة الأمر

AllowScriptAccess="never" nojava="true" في bbcode لعرض الفلاش

اتمنى شرح هذه الطريقه ,,

وجزاك الله الف خير

**bilba** · 15-06-2006

المشاركة الأصلية كتبت بواسطة Smawi.com

اتمنى شرح هذه الطريقه ,,

وجزاك الله الف خير

نتمنى الشرح

**البترولي** · 15-06-2006

المشاركة الأصلية كتبت بواسطة Smawi.com

اتمنى شرح هذه الطريقه ,,

وجزاك الله الف خير

يالليت

**N a i e f** · 15-06-2006

شكراً لكم يا اخوان على ا لتعليق و انا مو خبير في الامور هذي لاكن من باب " حب لأخيك ما تحبه
لنفسك" طرحت هذا التحذير

المشاركة الأصلية كتبت بواسطة MohDesign

الحل هذا صحيح
وقد قمت بنفسي بوضع الترقيع قبل فتره في منتديات الليزر باسم Snk1st
ملاحظه ليس من الضروره اغلاق تاج الفلاش
اجعل تاج الفلاش شغال لكن ضع الامر الاخر في ال bbcode
الفلاش يدعم الجافا سكريبت لكن ان وضعنا هذه المتغيرات في embed للفلاش لن تعمل الجافا سكريبت مهما كانت
وانا اعتمد الحل من موقع ماكروميديا نفسه بعد البحث عن سبل اغلاق الجافا سكريبت الاتيه من الفلاش
http://www.adobe.com/devnet/flash/ar...curity_09.html
تحياتي

بالفعل اخوي MohDesign كان لك مداخلة في هذا الموضوع و الحلول مأخوذه منك
و بصراحة أعتب عليك لأنه ما طرحت الموضوع هنا بحكم أنه اصحاب المنتديات أغلبهم هنا

ياليت لو تشرح لأخوانك طريقة الترقيع الي طلبوا التوضيح عنها ..

و شكراً لك

**.:: مجهوول ::.** · 15-06-2006

يارجال شفر الكلمات من خلال مراقبة الكلمات الممنوعة وريح بالك

لا فلاش ولا سرقة كويكز

script
document
cookie

**EgyAdmin** · 15-06-2006

اخى الكريم كلامك مضمون مئه بالمئه ولكن هناك طريقه افضل للحمايه وهى عدم مشاركه المدير العام فى اى موضوع الذى يملك جميع الصلاحيات للوحه التحكم

و عمل مدير بديل ومع صلاحيات التعديل فقط فى المواضيع

و استفاد كما تشاء من الفلاش لان هناك بعض المنتديات الى تبنى مخصوص لتعليم الفلاش و ارى ان تعديل الاكواد سيقوم بإلغاء خواص الفلاش المعتاده كالطول و العرض

فلا دعى و اتركها كما هى و لا تشارك بالادمنستريتر بى اى موضوع حفاظا على سلامت بياناتك من اى مخترق ان كان عن طريق الفلاش او ملفات الشيل المعتاده

تحياتى لشخصك الكريم

وهذا راى فى الموضوع

**البـ أحمد ـرنس** · 15-06-2006

المشاركة الأصلية كتبت بواسطة N a i e f

أو وضع الكود التالي في ال footer في اخر سطر

<noscript>
</noscript>

حتى لاتنفذ اي جافا سكريبت اخرى
[/COLOR]

يأخي هل هذا حل شغال

يعني لو سويته أكيد مافي أي ثغرة حتى وانا في فلاشات في المواضيع ...!؟!؟

وأهم شئ كثير من المنتديات مركب أكواد إحصائيات زي رتب وغيره

هل سيتوقف عمل هذا الاكواد

أتمنى من صاحب الموضوع أفدتنا :looking:

**Smawi.com** · 15-06-2006

المشاركة الأصلية كتبت بواسطة .:: مجهوول ::.

يارجال شفر الكلمات من خلال مراقبة الكلمات الممنوعة وريح بالك

لا فلاش ولا سرقة كويكز

script
document
cookie

عزيزي مجهووول ..

هل بالفعل الحل اللذي طرحته يفي بالغرض ويحمينا من الاختراق ويجعل اكواد الفلاش شغاله 100%

:shy:

**محمد الثقفي** · 15-06-2006

السلام عليكم

بالنسبه لكود

<noscript>
</noscript>

لاتستعملوه وليس له ضروره هنا

المهم هو

كود PHP:


AllowScriptAccess="never"

فقط وليس هناك اهميه الى الامر الاخر nojava="true"
طيب فين تحطوا الكود وكيف

طبعا كود الفلاش في المنتديات ممكن يكون

[fla]
[flash]
[swf]

او غيره

من لوحة التحكم للمنتدى تتوجهوا الى الاضافات البرمجيه
Custom vB Codes
وتدوروا على وحده من اللي ذكرتها فوق او على حسب تعريف عرض الفلاش بمنتداك

بعد ذلك تقوموا بتعديل عرض الفلاش

مثلا هو

كود PHP:


<embed src='{param}'  WIDTH='{param}' HEIGHT='{param}' ></embed>

او

كود PHP:


<embed src=$param  WIDTH=$param HEIGHT=$param ></embed

يتعدل الى

كود PHP:


<embed src='{param}'  WIDTH='{param}' HEIGHT='{param}' AllowScriptAccess="never" ></embed>

المهم ان طريقة عرض الكود مختلفه من منتدى لاخر

اذا عليك البحث عن كو د الفلاش واضافة
AllowScriptAccess="never"
اليه

يعني لاتنسخ وتلصق هنا دور على الكود وحط هذه عليه
AllowScriptAccess="never"

ملاحظات :
الكود ممكن تبحث عنه في لوحة التحكم عشان تعرف فين موقعه
الكود ممكن يكون في bbcode.php
الكود ممكن يكون في ملف اخر لديك على حسب الهاكات اللي انت مركبها وفيها فلاش

يعني افضل طريقه ابحث عن طريق لوحة التحكم وبتلاقيها ان شاءالله

طبعا اول شي لازم تعرف انت ايش هو الكود اللي يعرض الفلاش بمنتداك

تحياتي

الموضوع: ثغرة موجودة بنسبة 95% في المنتديات العربية

أدوات الموضوع

بحث في الموضوع

ثغرة موجودة بنسبة 95% في المنتديات العربية

المواضيع المتشابهه

ثغرة موجودة في مكتبة الجوال الرجاء الدخول

ضوابط المشاركة