السلام عليكم ورحمة الله وبركاته
توجد ثغرة بسكربت الدروس العربي الاصدار الاخير الثغرة من موقع milw0rm
http://www.milw0rm.com/exploits/9248
الحل من وجهت نظر تغيير مسار لوحة التحكم او وضع جدار ناري والله أعلم
السلام عليكم ورحمة الله وبركاته
توجد ثغرة بسكربت الدروس العربي الاصدار الاخير الثغرة من موقع milw0rm
http://www.milw0rm.com/exploits/9248
الحل من وجهت نظر تغيير مسار لوحة التحكم او وضع جدار ناري والله أعلم
__________________
شـــكراَ سوالف ســـوفت ,,, قمة المواقع العربية بلا منازع
--|| سبحان الله والحمد لله والله أكـبر ||--
لم افهم
جربت ما قال ولم يدخلني اللوحة علي سكربت من احدي المواقع
ما فهمت ان تسجل دخول بهذه البيانات ولا اعرف ما هو الخطأ بالضبط في دالة الحماية
اتمني التوضيح لكوني مهتم جدا بهذا الأمر
__________________
السيف أصدق أنباء من الكتب
عموما اعتقد هذا سد للثغرة وهو اجتهاد مني
قوموا في ملف admin/login.php
باستبدال
بكود PHP:
$IsLogin = $db->get_var("select count(*) from modretor Where ModName='".$username."' and ModPassword='".$password."'");
كود PHP:
$IsLogin = $db->get_var("select count(*) from modretor Where ModName='".mysql_real_escape_string($username)."' and ModPassword='".$password."'");
__________________
السيف أصدق أنباء من الكتب
حياك الله
الثغرة كما فهمته أنها تعمل على السيرفرات التي تكون حالة magic_quotes_gpc معطلة
وجزاك الله خير على ما أضفت
__________________
شـــكراَ سوالف ســـوفت ,,, قمة المواقع العربية بلا منازع
--|| سبحان الله والحمد لله والله أكـبر ||--
قم بتعطيل : magic_quotes_gpc = Off
ادخل باليوزر : 'or 1=1 or '
جربتها ودخلت ، ترقيع :
استبدل الداله بهذه
كود PHP:
//Thanx For Pal Coder
function CleanVar($var)
{
if (! get_magic_quotes_gpc() )
{
$var = addslashes($var);
}
return htmlspecialchars(trim($var));
}
التعديل الأخير تم بواسطة Abo Naiyf ; 25-07-2009 الساعة 09:27 AM
__________________
اكثر موضوع اضحكني في سوالف سوفت :
http://www.swalif.net/softs/swalif30/softs216357/
بعد عمل الرقع
لم اعد اقدر على الدخول حتى بالادمن الصحيح !!!!!!!!!!!!
__________________
مدونتي: المظفر بالله
لم يجعل الله لك الاختيار في جنسيتك او على أي ارض تولد, ولا في عروبتك, لكن ترك لك الاختيار في دينك, فدعك من العصبية الجاهلية على أساس الجنسية او العروبة, فالفضل بينكم بالتقوى.
تم عمل ترقيع والحمد لله تم بنجاح
قمت بعمل اللي نصح فيه الاخ محب الله ورسوله والاخ ابو نايف جزاكم الله كل خير
ودخل بالادمن العادي بس لاني كنت استخدم معلومات الادمن القديمة
المهم واحد ابن حرام الظاهر استغل هذا الشيء وحذف الدورس الموجودة بالمكتبة كلها
حسبي الله ونعم الوكيل بس
__________________
مدونتي: المظفر بالله
لم يجعل الله لك الاختيار في جنسيتك او على أي ارض تولد, ولا في عروبتك, لكن ترك لك الاختيار في دينك, فدعك من العصبية الجاهلية على أساس الجنسية او العروبة, فالفضل بينكم بالتقوى.
يجب ترقيع دالة الحماية بالسكربت كما وضح لكم الأخ ابو نايف لأنه من الواضح انها مستخدمة في عدة اماكن
وذلك ب
اوكود PHP:
if ( !get_magic_quotes_gpc() )
فقط 2 من =كود PHP:
if ( get_magic_quotes_gpc() == 0 )
وليس 3
__________________
السيف أصدق أنباء من الكتب
هل يمكن ان تخبرنا عن اماكنها جزاك الله خيرا
__________________
مدونتي: المظفر بالله
لم يجعل الله لك الاختيار في جنسيتك او على أي ارض تولد, ولا في عروبتك, لكن ترك لك الاختيار في دينك, فدعك من العصبية الجاهلية على أساس الجنسية او العروبة, فالفضل بينكم بالتقوى.
في ملف function.php اسم الداله CleanVar
التعديل الأخير تم بواسطة Abo Naiyf ; 25-07-2009 الساعة 03:14 PM
__________________
اكثر موضوع اضحكني في سوالف سوفت :
http://www.swalif.net/softs/swalif30/softs216357/
اها اعرف اخي وقمت بعمل اللازم لكن الاخ محب يقول في اكثر من مكان
__________________
مدونتي: المظفر بالله
لم يجعل الله لك الاختيار في جنسيتك او على أي ارض تولد, ولا في عروبتك, لكن ترك لك الاختيار في دينك, فدعك من العصبية الجاهلية على أساس الجنسية او العروبة, فالفضل بينكم بالتقوى.
قصدت ان دالة CleanVar تم استخدامها في الكثير من الأماكن
__________________
السيف أصدق أنباء من الكتب
اها فهمت , جزاك الله خيرا
__________________
مدونتي: المظفر بالله
لم يجعل الله لك الاختيار في جنسيتك او على أي ارض تولد, ولا في عروبتك, لكن ترك لك الاختيار في دينك, فدعك من العصبية الجاهلية على أساس الجنسية او العروبة, فالفضل بينكم بالتقوى.
الي فهمته ليس بثغره ؟
بل انه نسي ان يعمل escape_string للإسم في الإستعلام ؟
صحيح ؟
واعتقد انه خطأ برمجي وبسيط جداً
__________________
منابر المتميز | شبكة المتميز
حالياً في الأردن : 962777775774
-----------------------------------
مطور ويب / JS(incl AJAX) , PHP, XML
تتبعني في Twitter
جزاك الله خير
__________________
شـــكراَ سوالف ســـوفت ,,, قمة المواقع العربية بلا منازع
--|| سبحان الله والحمد لله والله أكـبر ||--