الويب العربي - مهم طريقة حماية وإغلاق ثغرات منتداك النسخة (vb2/vb3)

الويب العربي (http://www.arabwebtalk.com/index.php)

- أمن المعلومات (http://www.arabwebtalk.com/forumdisplay.php?f=13)

مهم طريقة حماية وإغلاق ثغرات منتداك النسخة (vb2/vb3)

بسم الله الرحمن الرحيم

الموضوع اليوم راح يتكلم عن طريقة حماية منتداك سواءً

بعد تحديث إصدار منتداك أو حتى بعد تركيب منتدى جديد

وراح أشرح فيه أفضل طريقة لحماية منتداك

وراح أشرح أيضاً طريقة إغلاق أخطر ثغرتين للنسخة الجديدة vb3

قبل كل شيء نصيحة على الجميع التحديث للإصدار الأخير vBulletin Version 3.0.3

أولاً الحماية :

بعد ماتركب منتدى جديد أو تحدث إصدار منتداك

تعمل الأتي :

تحذف مجلد install

تضع حماية على المجلدات التالية :-

admincp

modcp

includes

وحماية المجلدات تتم عن طريقتين :

الأولى : عن طريق لوحة تحكم موقعك وهي معروفة للجميع

الثانية : عن طريق رفع ملف مخصص لإضافة حماية على أي مجلد تريد

وراح أشرح الأن حماية المجلدات عن طريق الملف :

أولاً حمل الملف التالي 00

download=save.php

وضعه في مجلد admincp

وأعط الملف save.php الترخيص 755

وأعط مجلد admincp الترخيص 777

إذهب إلى المتصفح وضع فيه الرابط هذا

www.lezr.com/vb/admincp/save.php

حيث أن lezr إسم موقعك

وsave.php إسم الملف

وإضغط إنتقال أو إنتر راح يطلب منك إسم مستخدم وكلمة مرور

أكتب المطلوب وبعدها إضغط على كلمة إحم المجلد

وأخيراً إحذف المجلد save.php

وبكذا تكون حميت مجلد admincp

وهكذا تعمل بباقي المجلدات :

modcp

www.lezr.com/vb/modcp/save.php

includes

www.lezr.com/vb/includes/save.php

والأن خلصنا من شرح طريقة حماية المنتدى والطريقه هذي تستطيع عملها على جميع إصدارات vBulletin

واللذي سيختلف في النسخة vb2 هو إضافة الحماية على المجلدات التالية فقط :

admin

mod

ثانياً : طريقة إغلاق أخطر ثغرتين للنسخة الجديدة vb3

ثغرة في ملف editpost.php

إفتح الملف وفي أوله بعد<?php

أضف الكود التالي

كود PHP:


		
			
$title = addslashes($title); 

if (strstr($title,"script") != NULL){ 

  echo "hello.. are you hacking us?<br>vBulletin<br>note: use scr!pt"; 

  exit; 

}

ثغرة في ملف subscriptions/authorize.php

وطريقة إغلاقها

تبحث في الملف authorize.php عن الكود هذا

كود PHP:


		
			
 $userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " . TABLE_PREFIX . "user WHERE userid = " . $item_number[1]);

وتحذفه وتضع بداله الكود هذا

كود PHP:


		
			
$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " . 

TABLE_PREFIX . "user WHERE userid = " .intval( $item_number[1]));

تحياتي ..

][][§¤°^°¤§][][الكاتب : شبح الليل ,,,][][§¤°^°¤§][][

][][§¤°^°¤§][][جميع الحقوق محفوظة لمنتديات الليزر ,,,][][§¤°^°¤§][][

مشكووووووووووور

اخي

رائع جدا

الف شكر اخوي ليزر الله يعطيك العافيه

تحياتي لك .

مليون شكر لك ياغالي وبارك الله فيك وسؤالي اذا ابي الغي الحماية كيف ؟

ولك مني جزيل الشكر

تسلم اخوي على الشرح المميز ولك كامل الشكر والتقدير :)

العفو اخواني ومشكورين على الردود

أخوي ham2002

أدخل المجلد اللي حميته واحذف الملفين اللي عملهم ملف الحماية ...

اخوي العزيز
ليزر انا عندي مشكلة اني نسيت اسم المستخدم وكلمة المرور ارجو انك تدخل هناوتشوف وابيك تعطيني طريقة تخليني استعيدهم او احذف ملف الحماية
http://www.nab3e.com/vb/admincp/index.php?

إقتباس:

اقتباس من مشاركة نبض الاحساس

تم حل المشكلة
شكرا للاهتمام

شرح ممتاز

ولكن " شبح الليل" الى اعرفه ولا غيره :)

تحياتى

الله يجزيك شرح رائع

من شخص اروع :)

بارك الله بك اخي الحبيب وياليت تضع لنا الملف بمرفق اخي الوصله لا تعمل

يعطيك العافية

الشرح مرتكز علي استايلات 3.3 ماذا عن 3.7؟؟؟؟؟

تحياتي لك

طيب اخوي الرابط ما يشتغل؟
حق التحميل

تبرني

مشكور أخوي
وبالتوفيق ..

هلا والله أخوي

مشكور على هالمعلومات الرائعه والمهمه لكل موقع

مشكور اخوي وفقك الله

شرح ممتاز
تسلم

???????????
أخوي يا ليت تعطينا رابط الملف

مشكوووووووووور اخوى ،،،،،،

رائع بالتوفيق لك ولاخوانى الكرام ،،،،

ألف شكر لك أخي العزيز وللفائدة :-
http://www.arabwebtalk.com/showthrea...6 #post142216