صفحة 1 من 3 123 الأخيرةالأخيرة
النتائج 1 إلى 15 من 32

الموضوع: [ حلول ] جميع ثغرات الـ vBulletin Version 3.0.3

  1. #1
    عضو فعال
    تاريخ التسجيل
    Jun 2003
    المشاركات
    1,364

    [ حلول ] جميع ثغرات الـ vBulletin Version 3.0.3



    السلام عليكم ورحمة الله وبركاته

    بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها :
    =================================================
    1- ثغرة ملف التعليمات faq.php :
    وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
    أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .


    الترقيع للثغره :

    * افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:


    كود PHP:
    // initialize some template bits
    $faqbits '';
    $faqlinks ''

    *أضف بعدها مايلي:

    كود PHP:
    $navbits[''] =$vbphrase['faq']; 

    * إحفظ الملف.

    =================================================

    2-ثغرة ملف editpost.php :
    وهي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز
    المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
    ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
    الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )

    الترقيع:

    * قم بفتح ملف editpost.php وابحث عن السطر التالي:


    كود PHP:
    $edit['title'] = trim($_POST['title']); 

    * استبدله بهذا السطر:

    كود PHP:
    $edit['title'] = trim(xss_clean($_POST['title'])); 


    * احفظ الملف .

    =================================================

    3- ثغرة ملف authorize.php:
    وهي ثغره من نوع SQL Injection.

    وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
    وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل وهنا بعض التفاصيل عن الثغره:
    http://www.securiteam.com/unixfocus/5BP0E15E0M.html


    =================================================

    4- إذا كانت لوحة تحكم المشرف العام مفتوحه
    للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
    عن طريق htaccess .
    ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
    بعدها قم بفتح ملف config.php وابحث عن كلمة admincp
    وضع بدلاً منها اسمك الجديد .


    =================================================


    5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط .


    هذا مالدي ودمتم

    جزى الله خير اخونا العندليب على هذه التنبيهات ...

    تحياتي للجميع

    أخوكم الوافي






    __________________
    شبكة الوافي التطويرية
    في خدمتكم دائماً لتطوير منتدياتكم ومواقعكم ..
    http://www.vbulletin4arab.com
    شبكة الجوارس العربية
    شبكة عربية تضم كل ما يفيد المستخدم العربي ..
    http://www.aljawariss.net
    الوافي غير متواجد حالياً


  2. #2
    عضو فعال
    تاريخ التسجيل
    Jun 2003
    المشاركات
    1,364


    إضافة [ حلول ] جميع ثغرات الـ vBulletin Version 3.0.3

    * يوجد هناك ايضاً ثغرة ( العشرة مواضيع ) ( ttlast.php )

    الثغره موجود في نفس السكربت الذي ذكرته في المتغير $ftitle

    والبرهان على ذلك هذا المثال :
    http://www.mnf1.com/forum/last10.php?ftitle=al3ndaleeb

    قم بعرض مصدر الصفحه حتى ترى رسالة الخطأ التاليه بين السطور :

    MySQL reported this error while trying to retreive the info: Table 'mnf1com_forum.useral3ndaleeb' doesn't exist
    واعذروني على عدم ذكر الاستثمار لهذه الثغره الجديده
    حتى لا يقوم أحد أطفال النت بأخذها وتطبيقها
    على المواقع العربيه المصابه .


    طريقة تسكير الثغره القديمه والجديده سهل جداً بدون أي مجهود .

    قم بفتح ملف ttlast.php وابحث عن المتغيرات التاليه:

    $fsel
    $ftitle

    وقم بحذفها من جملة الاستعلام واحفظ الملف وانتهى كل شي يخص الثغرتين .


    اكتشاف الثغرات اصبح جل اهتمامي فاعتقد ان الكثير من الاخوة هنا والذين يتابعون اخبار السيكيورتي في المواقع المخصصه
    لها قرأوا عن بعض الثغرات التي اكتشفتها وهذه أخر ثغره
    قمت بنشرها على هذا الرابط :


    http://www.securiteam.com/unixfocus/5BP0E15E0M.html

    في النهايه لا يسعني الا أن أشكركم على قراءة هذا الاعلان



    تحياتي لكم


    أخونا العندليب جزاه الله خير ..






    __________________
    شبكة الوافي التطويرية
    في خدمتكم دائماً لتطوير منتدياتكم ومواقعكم ..
    http://www.vbulletin4arab.com
    شبكة الجوارس العربية
    شبكة عربية تضم كل ما يفيد المستخدم العربي ..
    http://www.aljawariss.net
    الوافي غير متواجد حالياً

  3. #3


    يعطيك العالفية أخوي الوافي


    وجزيل الشكر لأخونا العندليب


    تحياتي





    __________________
    خيـ فارس ـال

    ^^^^^^^^^^

    معا حتى نصبح جميعا

    مبدعين في جميع المجالات
    خيـ فارس ـال غير متواجد حالياً

  4. #4
    عضو فعال
    تاريخ التسجيل
    Apr 2004
    المشاركات
    1,780


    شكرا ً اخوي الوافي





    __________________
    k_l_l_o_ll @ hotmail.com
    فن التصميم
    ياقلبي غير متواجد حالياً



  5. مشكور وماقصرت أخوي الوافي

    والشكر موصل للأخ العندليب





    __________________
    أبو عبدالله جرافيكس .. لخدمات الـ vBulletin .. فقط

    | تركيب منتديات | ترقية منتديات | تركيب هاكات وإستايلات | دعم فني للمنتديات | وجميع مايخص الــ vBulletin

    ماسنجر . aboabdullah_gr@hotmail.com
    أبو عبدالله جرافيكس غير متواجد حالياً

  6. #6
    عضو سوبر نشيط
    تاريخ التسجيل
    Aug 2004
    المشاركات
    737


    الف شكر لك يالغالي...

    بالنسبة للتقويم .. والمفكره .. فيفضل حذفها نهائياً.. لأن ليس لها أي أهمية ..

    وقد وضعت صفحات بدلاً منها ... أنظر هنا ..

    التقويم

    المفكره



    تحياتي لك يالغالي

    ولأخوي العندليب ...





    __________________
    قريباً .. على MBC2 خخخخ
    فارس جده غير متواجد حالياً

  7. #7
    عضو نشيط
    تاريخ التسجيل
    Jun 2003
    المشاركات
    52


    الله يعطيكم العافية





    العريفي غير متواجد حالياً

  8. #8
    عضو نشيط جدا
    تاريخ التسجيل
    Oct 2003
    المشاركات
    539


    مشكووور و ما قصرت





    __________________
    -- لا إله إلا الله --
    -- محمد رسول الله --
    foreverman2002 غير متواجد حالياً

  9. #9
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2000
    المشاركات
    3,248


    اقتباس المشاركة الأصلية كتبت بواسطة الـوافي


    2-ثغرة ملف editpost.php :
    وهي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز
    المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
    ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
    الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )

    الترقيع:

    * قم بفتح ملف editpost.php وابحث عن السطر التالي:


    كود PHP:
    $edit['title'] = trim($_POST['title']); 

    * استبدله بهذا السطر:

    كود PHP:
    $edit['title'] = trim(xss_clean($_POST['title'])); 


    * احفظ الملف .

    =================================================
    من وين جبت المعلومة يعني هي معتمدة من الفيبولتين





    MANTEK غير متواجد حالياً

  10. #10
    عضو فعال
    تاريخ التسجيل
    Jun 2003
    المشاركات
    1,364


    خيـ فارس ـال

    يا هلا بك استاذ ي العزيز ..

    والف شكر لك على هذا الرد الراائع





    __________________
    شبكة الوافي التطويرية
    في خدمتكم دائماً لتطوير منتدياتكم ومواقعكم ..
    http://www.vbulletin4arab.com
    شبكة الجوارس العربية
    شبكة عربية تضم كل ما يفيد المستخدم العربي ..
    http://www.aljawariss.net
    الوافي غير متواجد حالياً

  11. #11
    عضو فعال
    تاريخ التسجيل
    Jun 2003
    المشاركات
    1,364


    ياقلبي ---- أبو عبدالله جرافيكس --- فارس جده ---- العريفي --- foreverman2002


    الف شكر لكم يا اخوان ...

    واهم شيء نشر الفائده للجميع حتى نبقي مواقعنا بأمان

    الف تحيه لكم

    اخوكم الوافي





    __________________
    شبكة الوافي التطويرية
    في خدمتكم دائماً لتطوير منتدياتكم ومواقعكم ..
    http://www.vbulletin4arab.com
    شبكة الجوارس العربية
    شبكة عربية تضم كل ما يفيد المستخدم العربي ..
    http://www.aljawariss.net
    الوافي غير متواجد حالياً

  12. #12
    عضو فعال
    تاريخ التسجيل
    Jun 2003
    المشاركات
    1,364


    اقتباس المشاركة الأصلية كتبت بواسطة MANTEK
    من وين جبت المعلومة يعني هي معتمدة من الفيبولتين
    اخي العزيز ...

    هذا الموضوع من رد الأخ العندليب على الأخت ( FaTaYaT )
    في موضوعهم هذا :

    http://www.swalif.net/softs/showthread.php?t=99698

    وانا نشرته هنا لكي تعم الفائده وبالنسبه للشركه vBulletin
    هي ماهي منزهه من الأخطاء ويوجد لديها ثغرات وهذي الثغره من اكتشاف اخونا العندليب
    ولو انها مش خطيره ما ذكرها لنا هنا ولا ذكر لنا طريقة سد الثغرهع

    ارجوا لك وللجميع الفائده

    تحياتي لكم

    الوافي





    __________________
    شبكة الوافي التطويرية
    في خدمتكم دائماً لتطوير منتدياتكم ومواقعكم ..
    http://www.vbulletin4arab.com
    شبكة الجوارس العربية
    شبكة عربية تضم كل ما يفيد المستخدم العربي ..
    http://www.aljawariss.net
    الوافي غير متواجد حالياً

  13. #13
    عضو فعال
    تاريخ التسجيل
    Nov 2001
    المشاركات
    1,241


    حبيت اشكرك عن اهل الفي بي

    المشكله البرنامج يكبر و كل يوم ثغراته اكبر واكبر





    FaTaYaT غير متواجد حالياً

  14. #14
    عضو سوبر نشيط
    تاريخ التسجيل
    Nov 2003
    المشاركات
    601


    يعطيك العافيه اخوي الوافي على جمع الثغرات
    والشكر الاول لكل من يساهم في اكتشاف هذه الثغرات او نشرها
    وواعتقد الي مهتم في موقعه او منتداه لازم يحط في باله انه يتابع الثغرات
    ومتابعة الثغرات هي الحمايه الحقيقه للمنتدى او الموقع

    يعطيك العافيه على الجمع للثغرات وماقصرت





    __________________
    سحر الفنون http://www.sehralfnon.com
    مواقع ستايلات منتديات شعارات
    مونتاج فديو لوقو انيمشن بروشور
    admin@sehralfnon.com
    مؤسسة سعودية رسميه
    دركوش غير متواجد حالياً

  15. #15
    عضو فعال
    تاريخ التسجيل
    Apr 2004
    المشاركات
    1,244


    الله يعطيك العافية حبيب قلبي الوافي ....

    شرح ولا احلى ..

    ارق تحيه





    __________________
    سبحان الله وبحمده .. سبحان الله العظيم.
    صبي غامد غير متواجد حالياً





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض