مهم للغايه (( شريط اخر عشرة مواضيع ثغره حقيقية )) الرجاء امدادنا بالحل الشافي

[t11t]

السلام عليكم ورحمة الله وبركاته

لقد فوجئت اليوم برسالة فاعل خير مرفق بها الصوره التالية



فقمت للذهاب للوحة التحكم للتأكد من أن التشفير صحيح أم لا
وانصدمت عندما وجدتها مطابقة للتشفير

الرجاء اخبارنا بالحل لشريط اخر عشرة مواضيع
رغم علمي بوجود كثير من الثغرات
لكن نريد حلول عمليه ومشروحه لكي يستطيع الجميع تنفيذها
وما هو البديل لهذا الشريط
رغم اني قد وضعت حماية لمجلد الادمن من لوحة تحكم الموقع
لكن وجدت كثيراً من الناس يدعون عدم فاعليتها

الله يجزى من يحاول المساعدة بكل خير
وإن شاءالله ندعيله في هذه الليلة الفضيلة ليلة السابع والعشرون من رمضان


وكل عام والجميع بخير

[aziz33]

وعليكم السلام ورحمه الله وبركاته


ممكن نفهناكيف طلع معاك هذاالباسورد هل طلع بدال اسم المشرف ولااكيف خليته يبين بهذى الطريقه عشان نجرب عندناونشووف.



وشكرعلى التنبيه

[GulfEye]

اخوي

روح لهذا الموضوع فيه شرح لأخوي المصممون العرب جزاه الله الف خير

http://www.swalif.net/softs/showthre...threadid=93903

واخوي , نصيحه ركب جدار ناري عالملفات التاليه includes , admincp , modcp واحذف فولدر install بالكامل , وارقد وآمن بإذن الله ما يخترقه

وابحث في مواضيع المنتدى لشروحات حماية المنتدى

تحياتي لك

اخوك

[NaMr]

ياخي هو عكسها

المخترق قام بـ10 بالميه وباقيله 90 بالميه

واتحدى اكبر مخترق يخترق منتدى من هالثغره وله اي شئ يبيه حتى لو فلوس بس يثبت انه اخترقها من هذي الثغره

[smsmsm]

ياااخوووي مافيه برنامج يقوم بفك تشفير MD5

ردد ياليل ماطولك اذا فك هالشفره او استفاد منها

[oO(الباسل)oO]

فيه برنامج اسمه جوهان .. ويستخدمونه الهكرز في فك التشفير

يعني لا تستبعد اغلاق الثغره

واسم برنامج جوهان .. ذكره لي واحد عربي يدرس في رومانيا

وهو من اخبرني باسم البرنامج .. والله اعلــــــم

[LobbyHost]

ماله امل يقرب صوب المنتدى دام الباسسورد مشفر

[irctoolz]

السلام عليكم ورحمة الله وبركاته


http://forums.asites.net/showthread.php?t=12

ستجد هنا أفضل حل لسد الثغرة ولأي محاولة مستقبلاً

[DokFLeed]

Cookie Imporsenation

[قلعة العرب]

ومن قالكم انه هو رح يفك التشفير ؟


اذا حصل على الباس المشفر ,, يستفيد من الكوكيز .. شوف رد الي فوق و افهم

يعني يغير بالكوكي الخاص فيه عن طريق برامج كوكيز .. ويعمل رفرش ويقوله منتداك يا حيالله فيك يالمخترق..
يروح لملف المشرف العام الشخصي ويغير البريد
ويعمل خروج ويطلب كلمة المرور وتيجيه رسالة التاكيد لبريده يضغط عالرابط
تيجيه رسالة ثانية فيها الكنز

ويقولك بح بح منتداك !

يعني اذا اخذ الباسورد المشفر هو اخو الباسورد الحقيقي بس من غير أم

سلام عليكم

[all-the-vb]

رد مقتبس من DokFLeed
Cookie Imporsenation

رد مقتبس من قلعة العرب
ومن قالكم انه هو رح يفك التشفير ؟


اذا حصل على الباس المشفر ,, يستفيد من الكوكيز .. شوف رد الي فوق و افهم

يعني يغير بالكوكي الخاص فيه عن طريق برامج كوكيز .. ويعمل رفرش ويقوله منتداك يا حيالله فيك يالمخترق..
يروح لملف المشرف العام الشخصي ويغير البريد
ويعمل خروج ويطلب كلمة المرور وتيجيه رسالة التاكيد لبريده يضغط عالرابط
تيجيه رسالة ثانية فيها الكنز

ويقولك بح بح منتداك !

يعني اذا اخذ الباسورد المشفر هو اخو الباسورد الحقيقي بس من غير أم

سلام عليكم

نعم لاكن هذا فقط في الــvb2 يعني اذا اخذ التشفير في الـvb2 عن طريق الكوكي يقدر يدخل باسم المشرف بسهوله والباقي معرووف,

لاكن في الـvb3 مستحيل يقدر يدخل عن طريق الكوكيز
ماله الا يفك التشفير.,

والهاك للvb3 مبرمج بطريقة خاطئه,
( اظن ان تم تغير مسار الكونفيق فقط واستخدموه للvb3)
يعني لو برمجه نفس باقي ملفات الفي بي 3 مكان طلعت فيه الثغره
بان يعمل global off ويحدد نوع المتغيرات $_get , $_POST ....الخ

[e9999]

السلام عليكم

ياليت الكل يسد الثغره لان فيه برامج تفك تشفير md5 وبسهوله وسبق لي وفكيت باسووردات كثير والوقت حسب تعقيد الباسوورد يعني اذا باسووردك نوع واحد ارقام بس او احرف صغيره بس باسووردك ماتاخذ مع البرنامج الا ثواني معدوده :funny:

[all-the-vb]

رد مقتبس من e9999
السلام عليكم

ياليت الكل يسد الثغره لان فيه برامج تفك تشفير md5 وبسهوله وسبق لي وفكيت باسووردات كثير والوقت حسب تعقيد الباسوورد يعني اذا باسووردك نوع واحد ارقام بس او احرف صغيره بس باسووردك ماتاخذ مع البرنامج الا ثواني معدوده :funny:

اذا كان ارقام فقط [أقل من دقيقه]
اذا كان احرف فقط [ساعه او ساعتين]
اذا احرف و ارقام [يوم خخخ وويمكن اسبوع]
اذا رموز واحرف وارقام [ردد ياليل ماطولك]

وسوا في اى حاله من الحالات عدا الارقام,
اذا زاد الباسورد عن 8 خانات زاد الامر تعقيدا

مثلا : W4r&I57F[n

[عبدالرحمن العنكبوتي]

all-the-vb

فيه موقع يفك التشفير حط الباسوورد ويفكه لك ..

يعني لو يقعد شهر مافيه مشكله عليك الموقع يسوي اللي عليه وانت ماعليك الا انك ترقد وتامن

في vb3 الباسوورد يكون مشفر مرتين ويعصب التلاعب بالكوكيز في هذه الحاله لذا اغلب الهكر يبحثون عن منتدى الـ vb2

اما طريقة اغلاق الثغره يكفي فقط حذف دالة $fsel والشريط يضبط بشكل كامل ..

[all-the-vb]

رد مقتبس من mr.3nkboty
all-the-vb

فيه موقع يفك التشفير حط الباسوورد ويفكه لك ..

يعني لو يقعد شهر مافيه مشكله عليك الموقع يسوي اللي عليه وانت ماعليك الا انك ترقد وتامن

في vb3 الباسوورد يكون مشفر مرتين ويعصب التلاعب بالكوكيز في هذه الحاله لذا اغلب الهكر يبحثون عن منتدى الـ vb2

اما طريقة اغلاق الثغره يكفي فقط حذف دالة $fsel والشريط يضبط بشكل كامل ..

mr.3nkboty

اعرف الموقع الى ذكرته
لاكن سالفه وتقريبا اخر 30 صفحه لم يتم اظهار الباسورد حتى الان
شغله طويله,

في vb3 الباسوورد يكون مشفر مرتين

لا في الـvb3 نفس الـvb2 بتشفير الباسورد في القاعده مره واحده md5

لاكن يصعب التلاعب بالكوكيز
لانه لايتم تخزينه بالكوكيز بنفس الصيغه المشفره ولكن يضاف عليه مقطع
7rluwi4m

يعني يجلب باسورد العضو مثلا لوكان 123456
يصير الباسورد كذا
1234567rluwi4m

عقب يتم تشفيره عن طريق md5();
وتخزينه بالكوكيز.