(((الامبراطور)))
أهلا وسهلا بك زائرنا الكريم, أنت لم تقم بتسجيل الدخول بعد! يشرفنا أن تقوم بالدخول أو التسجيل إذا رغبت بالمشاركة معنا و ليصلك كل جديد و منعا عن حجب بعض المواضيع عنك مستقبلا و شكرا لزيارة منتدانا المتواضع
(((الامبراطور)))
أهلا وسهلا بك زائرنا الكريم, أنت لم تقم بتسجيل الدخول بعد! يشرفنا أن تقوم بالدخول أو التسجيل إذا رغبت بالمشاركة معنا و ليصلك كل جديد و منعا عن حجب بعض المواضيع عنك مستقبلا و شكرا لزيارة منتدانا المتواضع
(((الامبراطور)))
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.


مرحبا بكم بالمنتدي احدث الاغاني واخبار الفن والافلام العربيه والاجنبيه وبرامج والعاب ومسنجرات وتوبيكات
 
الرئيسيةأحدث الصورالتسجيلدخول

 

 هام جدا لاصحاب المنتديات اغلاق اهم ثغرات V.Bulletin 3X

اذهب الى الأسفل 
كاتب الموضوعرسالة
امير الرومانسيه
المدير العام
المدير العام
امير الرومانسيه


السرطان عدد المساهمات : 328
نقاط : 807
السٌّمعَة : 0
تاريخ التسجيل : 01/06/2010
العمر : 34
الموقع : https://alambrator.ahladalil.com/

هام جدا لاصحاب المنتديات اغلاق اهم ثغرات V.Bulletin 3X Empty
مُساهمةموضوع: هام جدا لاصحاب المنتديات اغلاق اهم ثغرات V.Bulletin 3X   هام جدا لاصحاب المنتديات اغلاق اهم ثغرات V.Bulletin 3X Icon_minitime1الخميس يونيو 10, 2010 10:42 pm

بتاريخ اليوم وانا اتصفح احد المنتديات الصديقة
وقد نبهت صاحب الموقع قبل يومين
ان الديتا بيس لمنتداه تعطي رسائل خطاء
ويتعذر دخول المنتدى

اليست هذه جريمة بشعة
والمهزلة انه يفتتح بسم الله الرحمن الرحيم
وهل هذا النوع ال ....... يعرف اسم الله

وهناك الكثير والكثير من المواقع التي يتطلب اختراقها
بس للاسف مش ح يعرف ليها طريق
ولو وصل لها سيتم القاء القبض عليه عن طريق الانتربول

وبعد هذه المقدمة نبدء على بركة الله
المدير العام او صاحب الموقع
يقدم تسهيلات وخدمات كبيرة للمخترقين
حينما يشهر اسمه و اميله
فماذا يبقى لدخول لوحة التحكم .(-------------) برافو

علشان شوي نخفف من اختراقات العرب
وكل يوم مخترقين منتدى عربي...
لايجوز ذلك ايا كانت الدواعي
انا نزلت موضوع كامل
فيه جميع طرق ترقيع الثغرات القويه والبسيطه
ليكون هناك تأمين ولو بنسبه 80%
وانشالله الكل يستفيد من الموضوع
الموضوع للفائدة العامة
وحماية المنتديات التي تستفيدون منها

الثغرات متسلسلة:
1- ثغرات في المجلدات
admincp و includes و modcp و install
و طريقة ترقيعها
طريقة حماية هذه المجلدات سهلة جدا
إما حماية مجلد install أو حذفه و مجلدي admincp و modcp
إذا كان يمكن للهاكر تعدي الحماية و اختراقهم فيمكنك
أن تغير اسمهم إلى أي اسم مثل ABDFVadmincp
حتى لا يعرف المخترق امتداد المجلد
و لكن عند تغيير اسم المجلد يجب أن تذهب لملف config.php
الموجود داخل ملجد include و تغيير اسمهم منه أيضا و الطريقة كالتالي:
افتح ملف config.php و ابحث عن الكود :
كود:

$admincpdir = 'admincp';

و غير اسم admincp إلى الاسم الذي اخترته من قبل للمجلد
و ابحث عن الكود التالي أيضا :
كود:

$modcpdir = 'modcp';

و غير اسم modcp إلى الاسم الذي اخترته من قبل للمجلد
-*-*-*-*-*-*-*-*-*-*-*-
2- ثغرة ملف last10.php آخر عشرة مواضيع و طريقة ترقيعها
غالبا ما يكون اسم الملف على حسب الاستايل اللي تنزله
مثلا اسم ملف آخر عشرة مواضيع
last10islamic.php أو last10.php أو ttlast.php
و هذه الملفات يمكن أن تلاقي الثغرة موجودة فيها أو ما تلاقيها
و يجب عليه إذا كنت محمل أي ملف منهم أن تبحث فيهم عن الكلمتان الآتيتين
و حذفهما تماما : افتح ملف آخر عشرة مواضيع و ابحث عن الكود :
$fsel

اذا وجدتها في أي ملف لآخر عشرة مواضيع قم بحذفها نهائيا و احفظ العمل و ارفع الملف
و أيضا ابحث عن الكود :
$ftitle
إذا وجدتها في أي ملف لآخر عشرة مواضيع قم بحذفها نهائيا
و احفظ العمل و ارفع الملف
-*-*-*-*-*-*-*-*-*-*-*-*-
3- ثغرة ملف private.php الرسائل الخاصة و طريقة ترقيعها
افتح ملف private.php
الموجود في مجلد منتداك الرئيسي vb و ابحث عن الكود :
كود:

$pm['title'] = trim($pm['title']);

و استبدله بالكود التالي :
كود:

$pm['title'] = trim(xss_clean($pm['title']));-


ثغرة ملف faq.php الأسئلة الشائعة و طريقة ترقيعها
افتح ملف faq.php و ابحث عن الكود :
كود:

// initialize some template bits
$faqbits = '';
$faqlinks = '';

و أضف بعده الكود التالي :
كود:

$navbits[''] =$vbphrase['faq'];5-


ثغرة ملف editpost.php
تعديل المشاركة و طريقة ترقيعها
افتح ملف editpost.php و ابحث عن الكود :
كود:

$edit['title'] = trim($_POST['title']);

و استبدله بالكود التالي :
كود:

$edit['title'] = trim(xss_clean($_POST['title']));

و في نفس الملف أيضا في أول الملف قم بوضع الكود التالي بعد الكلمة <?php :
كود:

With Me Ok Man<br>vBulletin<br>note: use scr!pt";
exit;
}

و احفظ الملف و ارفعه
6- ثغرة ملف authorize.php للبيع و الشراء و طريقة ترقيعها
هذا الملف هو ملف بيع و شراء مثل paypal
و الطريقة طبعا هي حذفه نهائيا و لا توجد طريقة غيرها للآن
و طبعا قم بحذفه لأنه لا يفيدك
و هو موجود داخل مجلد subscriptions
الموجود داخل مجلد منتداك الرئيسي
و لكن إذا كنت ممن يودون استخدامه فتفضل الحل :
افتح الملف و ابحث عن الكود :

كود:

$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " . TABLE_PREFIX . "user WHERE userid = " . $item_number[1]);


استبدله الكود
كود:

$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " .
TABLE_PREFIX . "user WHERE userid = " .intval( $item_number[1]));


ثغرة ملف memberlist.php
قائمة الأعضاء و طريقة ترقيعها
من لوحة تحكم منتداك قم بإغلاقها كالتالي:
أ- اذهب إلى لوحة تحكم منتداك
ب- من خيارات المنتدى اذهب للخيار
(قوائم الأعضاء و مشاهدة الهوية)
و قم بالضغط على الخيار ( لا )
في أول الصفحة و احفظ العمل
نصيحتي هي أنك تحذف الكود من داخل الملف
و تضع كود ملف index.php
و هذا الأفضل بحيث أنه عندما يقوم أي واحد بالدخول للتقويم
فينتقل تلقائيا للصفحة الرئيسية

8- ثغرة ملف calendar.php التقويم و طريقة ترقيعها
الطريقة الوحيدة هي أن تحذف الكود بكامله من داخل ملف calendar.php
و تقوم بوضع كود ملف index.php
الصفحة الرئيسية بداخله بحيث أنه عندما يقوم
أي واحد بالدخول للتقويم فينتقل تلقائيا للصفحة الرئيسية
9- ثغرة ملف functions_search.php محرك البحث و طريقة ترقيعها
أدخل إلى المجلد includes
الموجود في مجلد منتداك الرئيسي و غالبا ما يكون vb
و استبدل ملف functions_search.php الموجود
في المرفق بالملف القديم
10- ثغرة كود الفلاش [FLASH] و طريقة ترقيعها
ثغرة كود الــ bb الفلاش و طريقة حذفها و إغلاقها
هي أنك تذهب إلى لوحة التحكم و إلى ضبط أكواد الـ bb
و حذف كود الفلاش بكامله
وللضروره احكام امنع الكلمه التاليه (Co.okie) شيل النقطه فقط
11- ثغرة ملف uploader.php مركز تحميل الملفات و طريقة ترقيعها
افتح ملف uploader.php و ابحث عن الكود :
كود:

$type = explode("." ,$file_name);

و استبدله بالكود التالي :
كود:

$type = explode("." ,$file_name,2);


و احفظ العمل و ارفع الملف مرة أخرى
12- ثغرة ملف init.php و طريقة ترقيعها
اذهب إلى مجلد includes الموجود في مجلد منتدا الرئيسي
و ستجد ملف init.php استبدله بالملف الموجود بالمرفق و انتهى الأمر

13- ثغرة ملف online.php المتواجدون الآن و طريقة ترقيعها

اذهب إلى لوحة تحكم منتداك و من ثم إلى المجموعات
ثم ضبط إعدادات مجموعة الأعضاء
و من ثم اذهب إلى أي مجموعة مثلا مجموعة الأعضاء
و انزل تحت تحت تحت و سوف تجلد الخيار (صلاحيات المتواجدون الآن)
ضع كل خياراته لا و خاصة الأولى
أهم شيء أي أنه بجانب الجملة يستطيع رؤية المتواجدون الآن اختر ( لا )
و احفظ العمل و طبق هذه الطريقة على كافة المجموعات
و غير لازم أن تطبقها على مجموعة المشرف العام
============================
أرجو أن أكون قد وضعت كامل الثغرات و شكرا للجميع
و أرجو عند النقل أن تكتبوا منقوووول عن كوبرا كنك
و الله إني تعبت على الجمع و البحث عن الثغرات
حتى أسهل على الجميع كيفية إغلاق جميع الثغرات

ولا تنسوني بصالح الدعاء .
الرجوع الى أعلى الصفحة اذهب الى الأسفل
https://alambrator.ahladalil.com
 
هام جدا لاصحاب المنتديات اغلاق اهم ثغرات V.Bulletin 3X
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-
» أكواد لأصحاب المنتديات مهمة جداً
» اغلاق جهاز صديقك وانت تراسله على المسنجر

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
(((الامبراطور))) :: منتدي تطوير المنتديات والمواقع-
انتقل الى: