الويب العربي

الويب العربي (http://www.arabwebtalk.com/index.php)
-   أمن المعلومات (http://www.arabwebtalk.com/forumdisplay.php?f=13)
-   -   ثغرة بصندوق المحادثات الاصدار vBShout v2 (http://www.arabwebtalk.com/showthread.php?t=69468)

رياح الحب 02-11-2007 01:12 PM
ثغرة بصندوق المحادثات الاصدار vBShout v2
 
السلام عليكم ورحمة الله وبركاته

من فترة ابلغني كم عضو بإختراق صفحة أرشيف المحادثات اللي يكون على هذا الرابط

http://www.××××.com/vb/vbshout.php?

وتحويل الصفحة إلى صفحة إختراق بصيغة html

ورجعت وتابعت موضوع مبرمج الهاك وهو / Zero Tolerance ولقيته فعلاً اثبت وجود ثغرة بملف vbshout.php

وتم إنزال إصدار جديد وهو vBShout v2.1

وكان الموضوع نزل على الروابط التاليه

http://www.vbhackers.com/f76/ajax-fl...ut-2-1-a-4536/
http://www.vb-brasil.org/forums/zero...box-no-vb.html

وعلى العموم تم تعريب وتطوير الهاك وترقيعه بميزات جديدة يعني جاهز بالكامل وهي كالتالي

1- إصلاح بعض الأخطاء البرمجية
2- إغلاق الثغرات الموجودة في الإصدار القديم
3- أوامر سهلة لحذف المحادثات بدفعة واحدة او حذف محادثات عضو معين
4- حذف خاصية الوقت والتاريخ حتى ما تسبب تشوه في صندوق المحادثة
5- خاصية تحديد عدد المشاركات حتى يستطيع بعدها العضو المشاركة في المحادثات
6- تحديد عدد معين يحدده المدير لكي يستطيع العضو بعدها استخدام خاصية الرسائل الخاصة
7- المحادثات يتم تخزينها في الملف اللي بيكون بأسم vbshout.html وليس على القاعدة
8- عند الضغط على اسم اي عضو في المحادثة تستطيع إرسال رسالة خاصة مباشرة
يعني فيه منتديات عدد اعضائها فوق 100 للمتواجدين حالياً ولو يبي يرسل لعضو معين بالمحادثة بيجلس يحوس على أسمه
لكن اللحين كل اللي عليه يضغط على الأسم في نفس الصندوق وراح يفتح له إرسال رسالة خاصة على طول

وهو على هذا الرابط لمن اراد حذف القديم وتركيب الجديد او تحميله من المرفقات جاهز

http://www.arabwebtalk.com/showthread.php?t=69467

اما من لا يرغب بتغيير الصندوق ويبي يعدل فقط ويرقع تفضل

ابحث في ملف vbshout.php عن التالي

كود PHP:
function bbcodeparser($text ''

    global $vbulletin

    if ($vbulletin->options['shout_bbcode']) 
    { 
        return $vbulletin->vbshout_parse->parse(convert_url_to_bbcode($text), 'nonforum'); 
    } 
    else 
    { 
        return $text
    } 

وأستبدله بالتالي

كود PHP:
function bbcodeparser($text ''$striphtml true

    global $vbulletin

    if ($striphtml
    { 
        //$text = htmlspecialchars_uni(trim($text)); 
    

    if ($vbulletin->options['shout_bbcode']) 
    { 
        return $vbulletin->vbshout_parse->parse(convert_url_to_bbcode($text), 'nonforum'); 
    } 
    else 
    { 
        return $text
    } 


المصدر

http://www.traidnt.net/vb/showthread.php?p=5820565

Tabaza 02-11-2007 07:09 PM
بارك الله فيك

حجر الزاوية 03-11-2007 11:44 AM
بارك الله فيك على هذا التنويه

Mr.shares 05-11-2007 08:43 AM
يعطيك العافيه :) ..


والله يعين على اصحاب السكربتات يسوونها وهم نايمين :) ..

l3bxl3b 17-12-2007 03:47 PM
تسلم يا رياح :)

الطيرالحر 17-12-2007 04:43 PM
بارك الله فيك على هذا التنويه

iq_www 02-01-2008 04:21 PM
مشكور اخويه على التنبيه


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 09:21 AM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012