] أحمي نك الأدمن من التعديل فيه إلا بأذنك..!! [ 3.6.0] http://www.traidnt.net/vb/images/icons/icon26.gif



السلام عليكم ورحمة الله وبركاتهـ http://www.traidnt.net/vb/images/smilies/icon26.gi f



تحيه طيب للجميع وبعد:-
=====================
تم تجربة هالطريقة على

3.5.0


واليوم تم تجربته على 3.6.0


بنجاح وبدون مشاكل http://www.traidnt.net/vb/images/smilies/icon30.gi f
=======================

كيف تمنع من سرق منتداك من حذف اسمك اذا كنت صاحب الموقع اليك الطريقه
إفتح ملف : config.php
الموجود بمجلد includes
إبحث عن :

رمز PHP:


$undeletableusers = '';






بين القوسين حط رقم العضوية التي تريد حماياتها

مثل


رمز PHP:
$undeletableusers = '1';




==========================
بعد تطبيق خطوات الشرح لن يستطيع أحد من الذين يدخلون إلى لوحة تحكم المنتدى من تعديل كلمة مرور المدير العام أو تغيير إسم المدير العام أو حذفه أو العبث بمعلوماته بشكل عام ...
وإنصح الجميع ممن عينوا اشخاص للدخول إلى لوحة التحكم بتطبيق هذا الشرح
فهو في غاية البساطة ولا يأخذ من وقتك سوى ثواني معدودة وبالتالي سكون مطمئنأ من خيانة أو إنقلاب أي مراقب أو نائب المدير

ولكن: أنت نفسك ماراح تقدر تعدل بعضويتك من لوحة التحكم المنتدى
إلا بعد ماتشيل رقم 1 من الملف يعني تسوي عكس الطريقه


[ مثال لما يحدث عند محاولة تعديل أي شيء بالنك
http://up.w6wup.com/up2/2006/06/24/w6w_20060624085 8138bf25420.jpg

طريقة إغلاق أخطر ثغرتين للنسخة الجديدة vb3


ثغرة في ملف editpost.php



إفتح الملف وفي أوله بعد<?php



أضف الكود التالي


$title = addslashes($title);

if (strstr($title,"******") != NULL){

echo "hello.. are you hacking us?<br>vBulletin<br>note: use scr!pt";

exit;

}



ثغرة في ملف sub******ions/authorize.php



وطريقة إغلاقها



تبحث في الملف authorize.php عن الكود هذا


$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " . TABLE_PREFIX . "user WHERE userid = " . $item_number[1]);


وتحذفه وتضع بداله الكود هذا


$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " .

TABLE_PREFIX . "user WHERE userid = " .intval( $item_number[1]));



بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها :
==========================================
1- ثغرة ملف التعليمات faq.php :
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .


الترقيع للثغره :

* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:

// initialize some template bits
$faqbits = '';
$faqlinks = '';

أضف بعده الكود التالي

$navbits[''] =$vbphrase['faq'];

* إحفظ الملف.

==========================================

2-ثغرة ملف editpost.php :
وهي ثغره من نوع CrossSite ******ing وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )

الترقيع:

* قم بفتح ملف editpost.php وابحث عن السطر التالي:

$edit['title'] = trim($_POST['title']);

إستبدله بهذا السطر

$edit['title'] = trim(xss_clean($_POST['title']));

* احفظ الملف .

==========================================

3- ثغرة ملف authorize.php:
وهي ثغره من نوع SQL Injection.

وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل وهنا بعض التفاصيل عن الثغره:
http://www.securiteam.com/unixfocus/5BP0E15E0M.htm l (http://www.securiteam.com/unixfocus/5BP0E15E0M.ht ml)


==========================================

4- إذا كانت لوحة تحكم المشرف العام مفتوحه
للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
عن طريق htaccess .
ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
بعدها قم بفتح ملف config.php وابحث عن كلمة admincp
وضع بدلاً منها اسمك الجديد .


==========================================

5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط

اتمنى ان الشرح اعجبكم



السلام عليكم ورحمة الله وبركاته

اليوم جايب طرق ترقيع الثغرات في المنتدى النسخه 3,0,3

نبنتدي الشرح...


بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها :
==========================================
1- ثغرة ملف التعليمات faq.php :
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .


الترقيع للثغره :

* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:

// initialize some template bits
$faqbits = '';
$faqlinks = '';

أضف بعده الكود التالي

$navbits[''] =$vbphrase['faq'];

* إحفظ الملف.

==========================================

2-ثغرة ملف editpost.php :
وهي ثغره من نوع CrossSite ******ing وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )

الترقيع:

* قم بفتح ملف editpost.php وابحث عن السطر التالي:

$edit['title'] = trim($_POST['title']);

إستبدله بهذا السطر

$edit['title'] = trim(xss_clean($_POST['title']));

* احفظ الملف .

==========================================

3- ثغرة ملف authorize.php:
وهي ثغره من نوع SQL Injection.

وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل وهنا بعض التفاصيل عن الثغره:
http://www.securiteam.com/unixfocus/5BP0E15E0M.htm l (http://www.securiteam.com/unixfocus/5BP0E15E0M.ht ml)


==========================================

4- إذا كانت لوحة تحكم المشرف العام مفتوحه
للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
عن طريق htaccess .
ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
بعدها قم بفتح ملف config.php وابحث عن كلمة admincp
وضع بدلاً منها اسمك الجديد .


==========================================

5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط

اتمنى ان الشرح اعجبكم
للعلم جميع النسخ مصابة بهذه الثغرات

+ طريقة حماية مضمونة الكل يدخل.

config.php هو اخطر ملف بالمنتدى لان يحمل اهم شي في المنتدى لانه في قاعدة البيانات واذا عرفها يقدر يتصل يقاعدة البيانات واظن مالكم الاتشفرون او تغيرون اسم وراح انرل درس عم قريب انشلءالله

بسم الله نبداء عن كيفية حماية المواقع/

1-المستضيف/من المعروف ان الكثير اذا اراد ان يحجز موقعة يدور على الشركات الرخيصة...خطا يااخوان ..اول طريقة ابحث عن مستضيف قوى ومعروف بالحماية ومايحتاج اذكر شىء لانة متوفرات والحمد لله ..

2-كلمة المرور(password) لاتجعل كلمة الباسورد تبع موقعك سهل او رقم تليفونك او اسمك او اسم واحد عزيز عليك لانة يخمن بسهولة!!..اجعلها حروف وارقام ورموز ايضا..

3- عدم استخدام السكريبتات المجانية فاكثراها مليئة بالثغرات

4-عدم وضع اى نسخة احتياطية كاملة للموقع في أي مجلد من مجلدات السيرفر فى موقعك

5-حماية مجلدات الادمن(admin)بجدار نارى وهذا اهم شىء تقوم بة خصوصا عندما تقوم بتركيب منتدى او اى سكربت ...وساقوم بشرحة هنا ان شاء الله..علما ان شرح حماية المجلدات منقول من الاخ ******* /

ادخل السى بانل :www.xxxxxxx.com:2082 (http://www.xxxxxxx.com:2082/)
او: www.xxxxxxxx.com/cpanel (http://www.xxxxxxxx.com/cpanel)


تفتح لك صفحة جديدة أختار منها مجلد المنتدى بالضغط على صورة المجلد وليس أسمه

الأن حنا نبي نحمي مجلد الأدمن يعني نضغط على أسم المجلد

تفتح لنا صفحة الحماية للمجلدات نقوم بالخطوة الأولى وهي من الجزء العلوي للصفحة ونسجل أسم للنافذه اللي تطلع لتسجيل فيها اليوزر والباسوور ( تقدر تكت أي شي تبيه ) وتأشر على المربع وتضغط على save .

بعد ضغطك على save تطلع لك صفحة أضغط منها على

للعودة إلى نفس الصفحة السابقة للحماية الأضافيه ومنها نقوم بأخر خطوة وهي في الجزء السفلي من الصفحة لوضع أسم مستخدم وكلمة سر للحماية الأضافية لمجلد الأدمن للمنتدى .

وبكذا وضحنا بشكل واضح ان شاء الله كيف تحمى مجلدات موقعك!

6-عدم وضع كلمات المرور في ملف واحد و تضعة في جهازك لانة بسهولة راح يكتشف

7-عدم اعطاء اى شخص الباسورد مهما حصل لانة حدثت حالات اختراق كثيرة بسبب الثقة

7-مايحتاج اقول هالخطوة وهى حماية جهازك من ملفات التجسس لانة بسهولة راح يروح موقعك

8-تغير اسم الادمن لـvb لزيادة الامان لانة اللى يخترق منتداك يقدر يخترق موقعك وهاذى طريقة تغير ملف الادمن لـ الجيل الثالث لان اكثر الشباب مركبينة:
أدخل ملف الكوفنق ودور على:
$admincpdir = 'admincp';
$modcpdir = 'modcp';

غير admincp الى اى اسم تبية...ولا تنسى تغير اسم المجلد داخل الفتب

بالتوفيـــ ... ـــق ،،،،

بالتوفق للجميع ان شاء الله

مشكورين على المرور

؟؟؟؟؟؟؟؟؟؟؟؟؟