دائما أيها العندليب أجدك سباقاً للخير وأنت والله نعم الرجل وشكرا على جهودك الملموسة والتي لاينكرها غير مكابر
دائما أيها العندليب أجدك سباقاً للخير وأنت والله نعم الرجل وشكرا على جهودك الملموسة والتي لاينكرها غير مكابر
يا اخوان
انا منتداي نسخة 3.0.1
هل الثغرة موجودة فيه ؟
الثغره موجوده في كل النسخ حتى نسخة 3.0.7
تحياتي لكم
مرحبا
هذا كلام أحد مطوري منتديات الفي بي وهو :
Zachery
vBulletin Team
ورده على هذي الثغرة هو :
وIt shows my own data, with a hashed version of my password.
cookie password is md5(md5(password.salt) . licensenumber)
and it cannot be used to gain access to the admincp as the admincp requires login by default.
يعني الزبده من كلامهIts not possible to decrypt md5 because md5 is not an encryption algorythm.
Its a hashing system, sure some people have broken comon md5 passwords.
But since we add a salt and md5 it again. it makes it nearly impossible to determin the original data.
The license number is md5ed in with the password and salt so it is not visiable.
يقول الباسوورد مشفر
وسابع المستحيلات ان اي احد يقدر يفك باسوورد الـ في بي لاننهم مستخدمين نظام الـ md5 مع نضام : Salt.
__________________
منتديات شمس الكويت
السلام عليكم
الذي يحاول فك تشفير الباسورد المشفر هذا غبي مع احترامي لمعرفته
هناك برامج تقوم بالتعديل على الكوكيز وتضع فيه اسماء المتغيرات مع القيم التي يسرقها الشخص المخترق .
سأضع لك أحد هذه البرامج بالمرفق وتجرب بنفسك النتيجه
بما أن الكوكيز الخاص بك ياعزيزي قام المخترق بسرقتها عن طريق ثغرة الرسائل الخاصه فمن السهل أن يقوم بوضع قيمها في الكوكيز الخاصه بجهازه عن طريق أحد هذه البرامج التي ذكرتها لك .
بعدها يقوم بالدخول على المنتدى بشكل طبيعي وسيظهر باسم المشرف العام ويقوم بفعل أي شيء يريده سواءاً حذف أو مسح
وللمعلوميه هناك ثغرات موجوده في الـ vbulletin لا تتم الا اذا كنت مشرف عام والشركه متجاهلتها تماماً
البرنامج بالمرفق
تحياتي لك
هل تعمل على الجيل الثالث ؟المشاركة الأصلية كتبت بواسطة العندليب
__________________
http://www.lezr.com/vb
دورات علمية متخصصة
كمبيوتر وإنترنت
أمن المواقع والسيرفرات
كل جديد سوف تجده معنى بإذن الله
نعم تعمل على الجيل الثالث لأن قيمة الباسورد المشفر بالكوكيز ثابته لا تتغير .
وتبقى هذي نظرية مبرمجين محترفين صعب تطبيقها
ولو كانت صحيح ثغرة
لما كانت موجودة في موقع الشركة الرسمي لمنتجات الـ vBulletin والذي هو
http://www.vbulletin.com/forum
فأنا جربتها هناك وظهرت لي رسالة :
'You Must Update Private.php'
يعني موقع الشركة معرض للأختراق .
وايضا الموقع الرسمي للهاكات وهو :
http://www.vbulletin.org/forum/
وايضا منتديات بوابة العرب .
والكثير من المنتديات العربية المشهورة مثل المشاغب وغيرها
فجميعهم يجب عليهم اغلاق هذه الثغره .
اخي الكريم
جزاك الله خير على حرصك وعملك بالبحث عن هذا الموضوع
شكرا لك
__________________
منتديات شمس الكويت
أخي العندليب
ممكن تذكر فائدة هذا البرنامج الي أرفقته
انا بأنتظارك
طيب دام انك مقتنع انها خطيره
اخترق موقع الفي بي بنفس هذي الثغره
و شوف ! وش بيتصير رده فعلهم ..
مثل ما اقنعت سوالف
Estad
البـ أحمد ـرنس
الأن شرح تخطي الكوكيز في منتديات Vb الجيل الثالث
__________________
http://www.lezr.com/vb
دورات علمية متخصصة
كمبيوتر وإنترنت
أمن المواقع والسيرفرات
كل جديد سوف تجده معنى بإذن الله
مشكور اخوي
مشكور يالغالي
__________________
لأننا نتقن الصمت .. حملونا وزر النوايا !! فكيف أصبح للحضور لون الغياب..وللقاء وجع الفراق..وللحب شكل النهاية!!