النتائج 1 إلى 5 من 5

الموضوع: الكلمات الممنوعة في الإهداءات غير مجدية لوجود ثلاث ثغرات به

  1. #1

    الكلمات الممنوعة في الإهداءات غير مجدية لوجود ثلاث ثغرات به



    السلام عليكم ورحمة الله وبركاته

    هذه أول مشاركة لي في هذا المنتدى, ولكني أحذر من هاك الإهداءات (مع العلم أني لم أضع هذا الموضوع في منتدى آخر بعد)

    أعلم أن الكثير من الأخوان تكلموا عن هاك الإهداءات و بعض الأخوة الأفاضل قامو بوضع كلمات ممنوعة وقام بتعطيل خاصية البلد ومنهم من قام بالتعديل في ملف ehdaa.php لمنع بعض الأكواد ولكني استطعت بفضل الله اختراق الإهداءات لديهم ً, وساعدتهم في سد الثغرات بطريقة صحيحة.

    أولاً : الثغرات :-
    1- ثغرة من النوع XSS وهي معروفة من الجميع وهي تتسبب في وضع كود جافا سكريبت لتحويل المنتدى أو عرض رسالة أو ......

    2- ثغرة من النوع SQL Injection وهي تمكن المخترق من الحصول على أي معلومة من قاعدة البيانات مثل الإيميلات او الآيبيهات أو الرسائل الخاصة أو كلمات المرور (أي نعم MD5 لكن هناك طرق لاستخدامها في الدخول للمنتدى) أو ......

    3- إمكانية إضافة إهداء حتى ولو لم يقم المدير بتفعيل العضوية أو حتى لو لم يكتب أي مشاركة )مهما كان عدد المشاركات المطلوب).

    ثانياً : لما الترقيع الحالي لا يجدي؟ :-
    بالنسبة للثغرة الأولى لأنهم يضعون بعض الأكواد حين أن أكواد التحويل كثيرة جداً.
    أما بالنسبة للثانية فالقليل القليل القليل من يقوم بسد هذه الثغرة.
    أما بالنسبة للثالثة فأقل من القليل من يعلم بها.

    ثالثاً : الترقيع :-
    قمت ببرمجة كود يوضع في أول ملف هاك الإهداءات (قبل php?> ) في Cpanel
    الملف ehdaa.php موجود في public_html/vb (مع تغيير vb إلى اسم مجلد منتداك)

    الكود موجود في المرفقات (أرجو حفظ الحقوق)

    الموضوع منقول لكن ارجو التحقق ياهل الخبره





    الملفات المرفقة الملفات المرفقة


  2. #2
    عضو نشيط جدا
    تاريخ التسجيل
    Jun 2004
    المشاركات
    350


    وش دخل هالرابط بالكود
    'http://uptop1.com/vb/member.php?u=17

    شفه بالسطر الثاني





    __________________
    العضويه مستعاره ويستخدمها اكثر من شخص

    (
    )
    (
    )
    Namr

  3. #3


    أخبرتكم بوجود الثغرات وهي تأتي بالطبع من المستخدم للمنتدى, إذا يتم نقلها لصفحة حفظ الإهدائات بـ $_REQUEST أو $_POST أو $_GET فالكود يفحص كل منهم ويستبدل الأحرف التي تؤدي للإختراق بأي نوع إلى شفرة HTML بحيث تظهر الحروف ولكنها غير نشطة, أما بالنسبة للثغرة الثالثة فهي تعني إرسال البيانات من صفحة أخرى غير التي بالمنتدى إلى صفحة حفظ الإهداءات مباشرة, مما يتخطى التحقق من عدد المشاركات و تفعيل العضوية من المدير, لذا يقوم آخر سطر بعرض رسالة (فقط لمن يحاول الإختراق من هذه الثغرة) تحوي

    Sorry, your request was denied by MMA

    وهي تعني أن طريقته ممنوعة من قبل MMA ويعطه الرابط للملف الشخصي بمنتداي






  4. #4
    عضو نشيط جدا
    تاريخ التسجيل
    May 2006
    المشاركات
    373


    يعني الي نفهمه من كلامك اخوي انو نركب ونحن متطمنين؟





    __________________

    قريباً......................................
    ====================
    العضويه بأستخدام مشترك بين شخصين

  5. #5


    والله يالغالي انا انتظر اهل الخبره يفيدونا هل الكلام هذا صحيح او لااااااااااااااع










ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض