الموضوع: (في جعبتي*2*)أهم العوامل التي ساعدت بإختراق المنتدى الصهيوني

(في جعبتي*2*)أهم العوامل التي ساعدت بإختراق المنتدى.

سيداتي سادتي
قد عرضت عليكم عرض بسيط عن أسلوب إختراق المنتديات وكان المنتدى نيجيري صاحبة صهيوني يعيش في تل ابيب.
هذا ما توصلت الية من صاحب الموقع بعد مراسلات عدة
قد تستعجب أخي الكريم
ولكنها الحقيقة .
كنت بإسم فتاه تدعى JENEE
وراسلته كذا رسالة خاصة
المشكلة انه لم يفعل كود ال HTMLضمن الرسائل الخاصة بيد أنه تم تفعيلها بالتوقيع
اللغم قد وضعته لك ولكنه قد اختار ضمن تصفحة عدم عرض التواقيع.
بت في حيرة من امري ؟
كيف لي ان أن احصل على كلمة المرور ؟؟؟؟؟
سؤال حيرني وكان الجواب كالتالي :

قمت بعملية إيقاع لأحد المراقبين
وطبعا يسمح للمراقب بأن يدخل لملف المود .....

وكان قد فتح ميزة عرض التواقيع في رسالتة الخاصة.
وهكذا حصلت على الكود الخاص به وكان مشفر طبعا وبطريقة معينة استطعت الدخول الى حسابة وغيرت كلمة السر.

الان ما ذا افعل كي اوقع الادمن في شر اعمالي
نشرت الصورة التي سبق ذكرها في الصفحة الخاصة بقسم المراقب عن طريق اضافة إعلان للزوار
وبذلك تشوه القسم لان الصورة كبيرة
ووضعت كود جافا سكريبت يؤدي الى حدوث خطأ ولا يسمح للمستعرض بان يكمل قراءة الكود
وبمعنى اخر لن يظهر سوى الصورة ولن تظهر الردود

طبعا في هذة الحالة لن يقدر على التغير سوى الأدمن
وهنا كانت اللعبة
فقد ارفقت الكود الخاص بثغرة ال HTML
وحصلت على كلمة المرور
هنا لن ينفع منع ال HTML انني مراقب اصبحت
وهنا بت أنتظر
دخل المراقب الى الادمن وطبعا الادمن مفتوح كان يعني مش محمي.
وذهب ليغير ما قمت بوضعه وقد نجح لكنة بلع الطعم وهو مبسوط على الاخر .
يعني طعم بالفراولة و الكراميل من عمك بيشو هذا يبلعة ونص

والان طبعا كنت اون لاين انا طول الفترة وعم اشيك البريد
وجدت ان الادمن قد دخل اخيرا

خطوات العمل

بسرعه البرق انشءت الصفحة التي سوف احضرها لتكون مقدمة
ذهبت وعملت باك اب لقاعدة البيانات الخاصة بال USERS
كي احصل على العناوين البريدية
ذهبيت الى التملت وشوهت بها ووضعت ما اريد وضعه وهي صفحة صورة القدس

وقد شاهدا الكثير
وبعد ذلك كلة ذهبت وحذفت كل الاقسام التي تتعلق بالسياسة والباقي سقط سهوا

وبذلك تدمر الموقع
الان
قبل ان انسى
ذهبت الى قاعدة البيانات وحذفت كل الادمنز ووضعت نفسي ادمن
يعني لن يقدر احد على الدخول
وحتى لو احب ان يغير من قاعدة البيانات فهذا صعب جدا وبدة وقت

كل هذة الامور حصلت ب 10 دقائق

المغزى من القصة

1- لا تفعل كود ال HTML تحت اي ظرف من الظروف
2- تم التاكد من سلامة الفلاش للموقع ويمكنك تفعيل الفلاش بامان
3- اغلق المود فولدر MOD
4- أغلق ال ADMIN فولدر
5- لا تسمح للمراقبين ان يحذفوا من المود الحف الجماعي
6- لا تسمح للمراقبين ان يدخلو الى المود بل كن انت الوحيد الذي يدخل
7- دع المراقبين يراسلوك بشكل خاص للمشاكل المتوقع حدوثها كي تكون انت المسيطر.
8- قم بعمل ابديت يومييييييييي لقاعدة البيانات مرتان يوميا
9- اجعل مدة محددة بين اضافة موضوع واخر مثلا 20 ثانية
10- لا تسمح ابدا بمراقيبن مجهولين يجب معرفتهم بشكل جيييييد
11- يجب عليك الحذر من تفعيل الصور وخصوصا ال PNG
قريبا اختراق عن طريق ال PNG

أخ بيشو سيناريو جميل وخطة محكمه ..

المهم انا شفت المشرف الي أنت عرفت بياناته وهو Bikes واعتقد كنت انت متواجد بأسمه وانا عملت قراءة لكود الـhtml في القسم الي أخترقته ولقيت سكربت بسيط عموما شكرا على نصائحك القيمة وجزاك الله الف خير ..

تحياتي

لي طلب وهو ان تزيل اسم منتدى سوالف من موقع اليهود

حتىلا تتحول حرب على منتدى سوالف ..

وبالتالي يخسر الجميع


لكن لدي سؤال ايضا

هل إلغاء اوامر السكربت توقف الاختراق عن طريق html

ولا اوصيك عليهم

وودي والله اساعدك .. اقل شي ارد لهم اختراقهم لموقع حواء ووضع النجمة السداسية في موقع حواء

ولك التحية

فناااااااااااااااااااااااااااااااااااااااااااااااا ااااان وقليلة كلمة فنان في حقك

رد مقتبس من ice
أخ بيشو سيناريو جميل وخطة محكمه ..

المهم انا شفت المشرف الي أنت عرفت بياناته وهو Bikes واعتقد كنت انت متواجد بأسمه وانا عملت قراءة لكود الـhtml في القسم الي أخترقته ولقيت سكربت بسيط عموما شكرا على نصائحك القيمة وجزاك الله الف خير ..

تحياتي

أخي الكريم لم افهم قصدك ارجو مراسلتي

beshoo_beshoo@hotmail.com
هذا المسنجر فوت من شان ندردش شوي

أخ يا بيشو فنان ما شاء الله

يبدو اني اكتشفت سر هذا الاختراق

هل هو السكربت الذي يعتمد على الأباتشي في جهازك

ولك تحياتي

رد مقتبس من al7aq
يبدو اني اكتشفت سر هذا الاختراق

هل هو السكربت الذي يعتمد على الأباتشي في جهازك

ولك تحياتي

ما فهمت

ممكن توضح

المشكلة اني لا اريد ان امنع عليكم الفكرة ولكن المشكلة لك واحد عم يطور فكرة براسة لحتى يصل لحل يعمل نفس الشيء ..
تعددت الاساليب والموت واحد

اتق الله يابيشو حرام عليك
تقوم تخرب مواقع ناس ماهم صهيونيين ولاشي مجرد انك حبيت تقول انا اخترقت الموقع وحطيت حجة الصهيونيه
ليس لانه اجنبي خلاص صار كل شي صهيوني بعيونكم
الموقع موقع واحد فاتحه ولاعمرهم تطرقوا بهالامور اللي يتكلم عنها بيشو
صاحب الموقع كندي في كندا وماله اي علاقة بكلامك
وحرام عليكم اللي يصير بدل مانكسب الناس ونعاملهم بالحسنى نقوم نخرب مواقع الناس ولانميز بين الصح والخطا وانتم ناس شغالين مبرووك مبرووك وماتدرون عن شي
الان بالله ايش استفدت من تدمير موقع ماله اي علاقه باللي تقول يااخي استح
واذا لم تستح فاصنع ماشئت

وصلة عن معلومات صاحب الموقع :
Registrant:
NaijaRyders
2302 Chateauguay, #12
Montreal, Quebec H3K 1K8
CA

Domain Name: NAIJARYDERS.COM

Administrative Contact:
Chuta, Uche uche@canada.com
2302 Chateauguay, #12
Montreal, Quebec H3K 1K8
CA
514-932-5062

Technical Contact:
Burns, John domains@venturesonline.com
5970 S. Greenwood Plaza Blvd
Suite 156
Greenwood Village, CO 80111
US
720-279-2011
Fax: 720-279-2099



Registration Service Provider:
VenturesOnline.com, LLC, domains@venturesonline.com
720-279-2011
http://www.venturesonline.com


Registrar of Record: TUCOWS, INC.
Record last updated on 07-Apr-2002.
Record expires on 03-May-2003.
Record Created on 03-May-2001.

Domain servers in listed order:
VS7.VOSN.NET 209.197.232.101
VS8.VOSN.NET 209.197.232.102





ويابيشو وبقية صغار الاختراق اتركوا عنكم حركات التخريب والله لو سئلناكم عن فلسطين ماعرفتوها فلاتدخلوا مواقع مالها اي علاقة بالصهيونيه في قضيتنا
وبلاش حركات شوفوني شوفوني انا اخترقت بكره تروح تخترق مواقع العرب مثل مااخترقت مواقع مالها ذنب
فتوب الى الله واترك عنك هذي الحركات واعتقد انك من الناس اللي تصمم فلاش بالاغاني ومالى ذلك وقبل لاتصلح الناس اصلح نفسك
ولا عاد نشوفك تتكلم بهالموضوع لو سمحت

أهلين بيشو

مو انت تعتمد على السكربت اللي تضع الاي بي الخاص بك ؟

ويتعامل مع الكوكز

هذا اللي اقصده وما ودي اوضح اكثر

الى العزيز الذي يشكك بكلامي
اتمنى ان تراجع موضوع كتبته اول مرة بشئن هذا الخصوص
فقد وضعت مجموعه من المقالات التي قد كتبها المراقبون بذات انفسهم
عن العرب و المسلمين...
وثم من انت لتقيمني ؟
انا بهذا قد افدت الاعضاء كلهم وانت تفتح مجال للمهاترات
الكلام الذي تقولة عن الدومين
اين الاثبات الذي تريد ان تريني اياه
وهل من الضروري ان يكون الدومين محجوز لاسرائيلي حتى يكون الموقع اسرائيلي ؟
عجبي

المواضيع التي كانت بداخلة هل قرئتها حتى تحكم ؟
ام انك تود أن تتطرق للخلافات ؟
إن كنت تغار مني غيرة الغبطة فحلال عليك تعلم وصير متلي
ام ان كنت تحسدني ( ومن شر حاسد اذا حسد ) فانا اوكل امري لله
اساسا انا مقامي بسوالف اكبر من ان العب لعب ولاد صغار
.......

عذرا ان ازعجتك لكن لا تظن بي فانا اريد لك الخير بيد انك تريد لي الشر وشكرا لظنك السيء بي.

احدى المقالات التي كتبها
Bikes

(Israel - NIGERIN) and Israel have signed a one year accord for the training of 50 Nigerians on information technology, beginning from January next year. A company in Israel will foot the bill.

The Arabs are only coming to build Mosques and instigate the institution of Sharia they are foolish and just wana say that all Arabs wan live in the small Mosques and we r the Israel people cooperate with NIGERIA (Israel) to make the best

الاخ بيشو

يا عزيزي اخشى عليك من الوقوع لانه يتضح لي انك تتحرك بدون احتراف في الاختراق بل باستغلال كود جاهز يعمل على النسخ القديمه 2.0.3-2.2.4

فهل قمت باغلاق الباب الذي اتيت منه عند تصفحك للمنتدى والقيام بتنفيذ عملية اسغلال الثغره؟

الامر الاخر ذكرت انك استخدمت كود جافا سكربت يمنع المتصفح من عرض الردود ولا يمكن تغيير الصفحه إلا من الادمن

نظريا صحيح لان صلاحيات المشرف في اسفل الصفحه ولا يمكن التغيير إلا من لوحة التحكم

ولكن عمليا الاسكربت هذا لا ليس له فعاليه لمن يريد تجاوزه بطريقه اخرى سواء كان مراقب او متصفح عادي لانه يمكن اجبار المتصفح بعرض كافة محتويات الصفحه لتظهر بالتالي صلاحية المشرف في الاسفل عندها يمكن التغيير من المشرف بتعديل المشاركة دون تدخل الادمن

كما ان هناك خاصية ترميز في لغة الاتش تي ام ال يمكن استغلالها لتعطي نتيجة سلبيه وهي تقوم بنفس عمل سكربت الجافا في كتابة الخطأ لقفل الاستعراض

هذه الخصائص عزيزي تعمل على متصفح ماكروسفت اكسبلورر ويمكن تجاوزها

ولكن هناك متصفحات اخرى تقوم بتلافي الاخطأ البرمجيه وتجاهلها لتصبح نصوص غير ظاهره في العرض

تحياتي

أستناداً الى مكتشف الثغرة فهو يقول بأنه يعمل على نسخة 2.2.0 ولكنه يعمل على أي نسخة في حالة تفعيل خاصية الـ HTML راجع موقع securityfocus لتعرف أيهما أقصد. لا أراه أضاف شيئاً جديداً سوى موقع لعمل الـ logging.




محمــد

اخي الكريم
شكرا على نصيحتك والحمد لله عندي من الخبرة والشهادات ما يؤهلني للقيام بالعمل
ورينا شغلك وساعدني على المنتدى الجديد
http://www.israelforum.com/board

بالنسبة لكود الخطا انا اعلم ما كنت اقول ولكن انت من اساء فهمي.