الويب العربي

الويب العربي (http://www.arabwebtalk.com/index.php)
-   طلبات البرمجة والتصميم والتطوير (http://www.arabwebtalk.com/forumdisplay.php?f=6)
-   -   حلول لجميع ثغرات الـ vBulletin Version 3.0.3 !!! مهم !!! (http://www.arabwebtalk.com/showthread.php?t=2821)

scar 27-12-2004 09:06 PM
حلول لجميع ثغرات الـ vBulletin Version 3.0.3 !!! مهم !!!
 
السلام عليكم ورحمة الله وبركاته

أولاً الموضوع منقول ....للفائده


بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها :
=================================================
1- ثغرة ملف التعليمات faq.php :
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .

الترقيع للثغره :
* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:
// initialize some template bits
$faqbits = '';
$faqlinks = '';

*أضف بعدها مايلي:
$navbits[''] =$vbphrase['faq'];

* إحفظ الملف.

=================================================

2-ثغرة ملف editpost.php :
وهي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )

الترقيع:
* قم بفتح ملف editpost.php وابحث عن السطر التالي:
$edit['title'] = trim($_POST['title']);

* استبدله بهذا السطر:
$edit['title'] = trim(xss_clean($_POST['title']));

* احفظ الملف .

=================================================

3- ثغرة ملف authorize.php:
وهي ثغره من نوع SQL Injection.
وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل وهنا بعض التفاصيل عن الثغره:
http://www.securiteam.com/unixfocus/5BP0E15E0M.htm l


=================================================

4- إذا كانت لوحة تحكم المشرف العام مفتوحه
للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
عن طريق htaccess .
ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
بعدها قم بفتح ملف config.php وابحث عن كلمة admincp وضع بدلاً منها اسمك
الجديد .

5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط .

=================================
السائل يقول:

السلام عليكم

تم التهكير على منتداى بعد حذف الداله $fsel من هاك آخر عشر مواضيع

وش الحل شباب في هاك العشر مواضيع

وهذا كلام الاخ الهكر الله يجزاه بالخير الذي لم يخرب المنتدى

وقدم النصيحة


الرد :

السلام عليكم

قم بفتح ملف ttlast.php وابحث عن المتغيرات التاليه:

$fsel
$ftitle

وقم بحذفها من جملة الاستعلام واحفظ الملف وانتهى كل شي يخص الثغرتين .


===============================





تحياتي للأخوه

Powerfull 27-12-2004 10:27 PM
ألف شكر أخوي جزاك الله كل خير

غريب ديار 27-12-2004 11:48 PM
مشكور اخوي مع العلم ان الموضوع مكرر

http://www.arabwebtalk.com/showthread.php?t=1583

تحياتي .

Back Fire 28-12-2004 01:18 AM
مشكور اخي ويعطيك العافية .

مصطفى زغلول 28-12-2004 02:30 AM
الف شكر اخوى بارك الله فيك

scar 28-12-2004 09:46 AM
أشكركم أخواني على الردود

وأشكر الأخ غريب ديار على وضع الرابط المفيد

وأخي الموضوع المكرر ربما يفيد الأخوه لأن يمكن بعض من الأعضاء لم يشاهدوا هذا الموضوع من قبل

وتقبلوا تحياتي جميعا

hamdi344 22-01-2005 09:49 PM
مشكوووووووووووووووووووور


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 05:16 AM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012