ثغرة الكوكيز 000 مهم مهم مهم

النماي · 23-11-2004, 03:24 PM

افتح ملف الكونفيق

// Prefix that all vBulletin cookies will have
// For example
$cookieprefix = 'bb';

غير الحرف bb

الى اي حروف

الفايده من ها الشغله انك تقدر تحمي منتداك من سرقه الكوكيز ويعدل لك في الكوكيز

واحسب ماسمعت ان حتى لو احد طالع ال hash

مايقدر يستغله في تعدليل الكوكيز والدخول بحساب الادمن

وصلتني من اخ صديق وهو ابو سياف

تحياتي

net4fast · 23-11-2004, 05:01 PM

مشكور

النماي · 23-11-2004, 05:46 PM

العفو

zi0005 · 23-11-2004, 06:40 PM

Cpanel

ha4host.com · 23-11-2004, 06:46 PM

يرجى تاكيد هذا الخبر !!!!

هل هو صحيح ؟؟ ومافي مشاكل اذا عدلنا ؟

النماي · 23-11-2004, 06:52 PM

يعطيكم العافية انا جتني هالرسالة بس ما اضمنها لاني مو انها الي قايلها

بس ان شاء الله نشوف الاخوان اذا اكدوها

arabsdesign · 23-11-2004, 08:23 PM

لا اعرف عن الثغره شىء لكن حبيت انوه

انه يفضل تغير رمز bb

لتمييز كوكيز موقعك عن كوكيز منتدى اخر وحتى لايحدث مشكله الخروج الشهيره فبتعديله لن تحدث المشكله لعدم حدوث تضارب لمتصفحى المنتديات

all-the-vb · 24-11-2004, 03:14 PM

إقتباس:

لتمييز كوكيز موقعك عن كوكيز منتدى اخر وحتى لايحدث مشكله الخروج الشهيره فبتعديله لن تحدث المشكله لعدم حدوث تضارب لمتصفحى المنتديات

arabsdesign كلام صحيح,

النماي
لا هذا لايحميك منها ولاشىء
مثلا
$cookieprefix = 'bb';
لوغيرته الى
$cookieprefix = 'dp';
اى بمجرد مايكون عضو بنفس المنتدى
راح يتخزن عنده الكوكيز وراح يقراه وبدل مايكون
bbpasword
راح يكون
dppassword

يعني مافيه فايده
وقد ذكرت سابقا ان هذا فقط في الفيبي 2
والفيبي 3 حتى ولكان يمتلك التشفير فقط
لايستطيع الدخول عن طريق تزوير الكوكيز.

NLP · 25-11-2004, 01:35 PM

Al Zeeny · 25-11-2004, 04:13 PM

إقتباس:

رد مقتبس من all-the-vb
يعني مافيه فايده
وقد ذكرت سابقا ان هذا فقط في الفيبي 2
والفيبي 3 حتى ولكان يمتلك التشفير فقط
لايستطيع الدخول عن طريق تزوير الكوكيز.

اخي العزيز .. ولماذا لا يستطيع؟ .. كيف سدت مثل هذه الثغرة في الاصدار الثالث؟

all-the-vb · 25-11-2004, 04:29 PM

Al Zeeny

قد ذكرت هذا سابقا في احدى المواضيع

إقتباس:

رد مقتبس من all-the-vb
في الـvb3 نفس الـvb2 بتشفير الباسورد في القاعده مره واحده md5

لاكن يصعب التلاعب بالكوكيز
لانه لايتم تخزينه بالكوكيز بنفس الصيغه المشفره ولكن يضاف عليه مقطع
7rluwi4m

يعني يجلب باسورد العضو مثلا لوكان 123456
يصير الباسورد كذا
1234567rluwi4m

عقب يتم تشفيره عن طريق md5();
وتخزينه بالكوكيز.

لهذا اذا كان يمتلك فقط التشفير فلا يستطيع الدخول عن طريق تزوير الكوكيز (اذن تزوير الكوكيز مع الـvb3 انتهى)

ومستخدمين الـvb2 قله
واذا كانوا محتاجين لمثل هذا التعديل
فانا فلامانع لدي باعادة برمجة نظام الكوكيز في الـvb2
بمثل مافي الـvb3
( اذا كان هناك من يحتاجها)

مُجَاهِد · 25-11-2004, 04:34 PM

شكراً لك أخي الكريم عدام على التوضيح..

وخالص الشكر ..

نايف النايف · 25-11-2004, 04:42 PM

على طارى الكويكز

فيه اعضاء يقدرون يخشون باسمى ويمكنكهم المشاركه في اسمى من حيث انزل مواضيع وردود

وش الحل مع هالمشكله

أدوات الموضوع
مشاهدة نسخة مطبوعة إرسال هذه الصفحة