الموضوع: ثغرة في الـ vb3 هل هذا صحيح ادخل وأنظر بنفسك

هذا ما حصل لأحد المنتديات التي اقوم بالدعم الفني لها

وصلهم تحذير من احد الهكر ان هناك ثغرة في المنتدى
من هذه الصفحة http://www.******.com/vb/index.php?do=phpinfo

هذي الثغرة تمكن اي هاكر .. من معرفة باسوورد ملف الكونفق حق المنتدى .. أيضا يقدر يعرف مكان الكوكيز .. ويقدر يتجرمه بكل سهولة

هذا هو تحذير الهكر لأصحاب المنتدى
وقدم الهكر لهم الحل لإغلاق الثغرة

الحل هو :

من لوحة التحكم تبع الموقع .. سوي حماية على الملف phpinfo


او ابحث على هذا السطر في ملفات المنتدى : _GET["do"]
وسوي له تعديل ,,


هذي الرسالة اللي وصلتني من اصحاب المنتدى بشأن التحذير اللي وصل لهم وحبيت اتأكد من صحة الخبر منكم خوف من زرع ثغرة بدل من إغلاقها

الله يستر بس

ومشكور اخوى رحيل علي المعلومات هذي وجزاك الله خير

مشكور اخوي .. بس الحمد الله اغلب المنتديات الي اعرفها مقفله ومكتوب :

رسالة إدارية
نأسف , قام المشرف العام بإلغاء معلومات عرض PHP .

لاخفائها اتبع التالي اخوي

من خيارات الاوبشن

ابحث عن
server settings and optimization options
ومنها
Public phpinfo() Display Enabled
ضع no

وخلاص

السلام عليكم

هذى ليست ثغره

هذى معلومات عن سيرفر المستضيف

وليست معلومات عن موقعك

وموجوده في كل المواقع

تحياتي لك

رد مقتبس من d7me4ever
السلام عليكم

هذى ليست ثغره

هذى معلومات عن سيرفر المستضيف

وليست معلومات عن موقعك

وموجوده في كل المواقع

تحياتي لك

اخوي هذي تطلع لك معلومات الـ php

ومن ضمنها تطلع معلومات الكوكيز وفية باسورد المشرف العام ( مشفر )

لاكن عند اقفالها تنتهي المشكلة

والله اعلم

رد مقتبس من :[حبيبها]:
الله يستر بس

ومشكور اخوى رحيل علي المعلومات هذي وجزاك الله خير

مشكور اخوي حبيبها على مرورك اسمي رحال مو رحيل

رد مقتبس من nsaimallil_ss
مشكور اخوي .. بس الحمد الله اغلب المنتديات الي اعرفها مقفله ومكتوب :

رسالة إدارية
نأسف , قام المشرف العام بإلغاء معلومات عرض PHP .

تسلم اخوي نسيم الليل استفساري هل التعديل صحيح او يسبب ثغره

رد مقتبس من RED_LINE
لاخفائها اتبع التالي اخوي

من خيارات الاوبشن

ابحث عن
server settings and optimization options
ومنها
Public phpinfo() Display Enabled
ضع no

وخلاص

اخوي RED_LINE فيه ضمن الموضوع اللي انا طرحته تعديل على ملف غير طريقة الإغلاق الي انت ذكرتها مشكور سؤلي عن كيفية التعديل وهل هي صحيحه او لالا

رد مقتبس من مُجَاهِد

نفس الكلام اللي قلته فوق اخوي مجاهد

رد مقتبس من ياقلبي
اخوي هذي تطلع لك معلومات الـ php

ومن ضمنها تطلع معلومات الكوكيز وفية باسورد المشرف العام ( مشفر )

لاكن عند اقفالها تنتهي المشكلة

والله اعلم

كلامك صحيح اخوي ياقلبي وهناك برامج مخصصه لفك الباسووردات المشفره


=========================

هذا ما اقصد في التعديل

او ابحث على هذا السطر في ملفات المنتدى : _GET["do"]
وسوي له تعديل ,,


ما هو التعديل المطلوب وعلى اي ملف بالضبط إذا كان التعديل صحيح