بحث متقدم | التسجيل
الويب العربي
  تسجيل دخول
 
   
   

  ملاحظة
الموقع متاح للإطلاع والقراءة فقط، المشاركة والمواضيع الجديدة غير متاحة حالياً لحين تطوير الموقع.




الموقع متاح للإطلاع والقراءة فقط، المشاركة والمواضيع الجديدة غير متاحة حالياً لحين تطوير الموقع.

عـودة للخلف   الويب العربي المركز التعليمي المجاني أمن المعلومات

أمن المعلومات مقالات, أخبار, مواضيع حول أمن المعلومات, وحماية أنظمة التشغيل, الشبكات, المواقع, البيانات السرية.

موضوع مغلق اضف موضوع جديد
 
خيارات الموضوع طريقة العرض
  #1  
قديم 06-08-2006, 04:29 AM
v_i_p v_i_p غير متصل
عضو
 
تاريخ التسجيل: Jul 2006
المدينة: السعوديه
مشاركة: 71
مستوى تقييم العضوية: 18
v_i_p is on a distinguished road
Post ::+::كم قلنا درس متجدد لرجو التثبيت::+::

] أحمي نك الأدمن من التعديل فيه إلا بأذنك..!! [ 3.6.0]
السلام عليكم ورحمة الله وبركاتهـ
تحيه طيب للجميع وبعد:-
=====================
تم تجربة هالطريقة على
3.5.0
واليوم تم تجربته على 3.6.0
بنجاح وبدون مشاكل
=======================
كيف تمنع من سرق منتداك من حذف اسمك اذا كنت صاحب الموقع اليك الطريقه
إفتح ملف : config.php
الموجود بمجلد includes
إبحث عن :
رمز PHP:


$undeletableusers = '';


بين القوسين حط رقم العضوية التي تريد حماياتها
مثل
رمز PHP:
$undeletableusers = '1';

==========================
بعد تطبيق خطوات الشرح لن يستطيع أحد من الذين يدخلون إلى لوحة تحكم المنتدى من تعديل كلمة مرور المدير العام أو تغيير إسم المدير العام أو حذفه أو العبث بمعلوماته بشكل عام ...
وإنصح الجميع ممن عينوا اشخاص للدخول إلى لوحة التحكم بتطبيق هذا الشرح
فهو في غاية البساطة ولا يأخذ من وقتك سوى ثواني معدودة وبالتالي سكون مطمئنأ من خيانة أو إنقلاب أي مراقب أو نائب المدير
ولكن: أنت نفسك ماراح تقدر تعدل بعضويتك من لوحة التحكم المنتدى
إلا بعد ماتشيل رقم 1 من الملف يعني تسوي عكس الطريقه
[ مثال لما يحدث عند محاولة تعديل أي شيء بالنك






التوقيع
افا ليه

آخر تعديل بواسطة v_i_p ، 06-08-2006 الساعة 04:32 AM.
  #2  
قديم 06-08-2006, 07:35 PM
v_i_p v_i_p غير متصل
عضو
 
تاريخ التسجيل: Jul 2006
المدينة: السعوديه
مشاركة: 71
مستوى تقييم العضوية: 18
v_i_p is on a distinguished road
الافتراضي

طريقة إغلاق أخطر ثغرتين للنسخة الجديدة vb3


ثغرة في ملف editpost.php



إفتح الملف وفي أوله بعد<?php



أضف الكود التالي


$title = addslashes($title);

if (strstr($title,"******") != NULL){

echo "hello.. are you hacking us?<br>vBulletin<br>note: use scr!pt";

exit;

}



ثغرة في ملف sub******ions/authorize.php



وطريقة إغلاقها



تبحث في الملف authorize.php عن الكود هذا


$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " . TABLE_PREFIX . "user WHERE userid = " . $item_number[1]);


وتحذفه وتضع بداله الكود هذا


$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " .

TABLE_PREFIX . "user WHERE userid = " .intval( $item_number[1]));



بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها :
==========================================
1- ثغرة ملف التعليمات faq.php :
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .


الترقيع للثغره :

* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:

// initialize some template bits
$faqbits = '';
$faqlinks = '';

أضف بعده الكود التالي

$navbits[''] =$vbphrase['faq'];

* إحفظ الملف.

==========================================

2-ثغرة ملف editpost.php :
وهي ثغره من نوع CrossSite ******ing وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )

الترقيع:

* قم بفتح ملف editpost.php وابحث عن السطر التالي:

$edit['title'] = trim($_POST['title']);

إستبدله بهذا السطر

$edit['title'] = trim(xss_clean($_POST['title']));

* احفظ الملف .

==========================================

3- ثغرة ملف authorize.php:
وهي ثغره من نوع SQL Injection.

وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل وهنا بعض التفاصيل عن الثغره:
http://www.securiteam.com/unixfocus/5BP0E15E0M.htm l


==========================================

4- إذا كانت لوحة تحكم المشرف العام مفتوحه
للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
عن طريق htaccess .
ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
بعدها قم بفتح ملف config.php وابحث عن كلمة admincp
وضع بدلاً منها اسمك الجديد .


==========================================

5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط

اتمنى ان الشرح اعجبكم



السلام عليكم ورحمة الله وبركاته

اليوم جايب طرق ترقيع الثغرات في المنتدى النسخه 3,0,3

نبنتدي الشرح...


بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها :
==========================================
1- ثغرة ملف التعليمات faq.php :
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .


الترقيع للثغره :

* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:

// initialize some template bits
$faqbits = '';
$faqlinks = '';

أضف بعده الكود التالي

$navbits[''] =$vbphrase['faq'];

* إحفظ الملف.

==========================================

2-ثغرة ملف editpost.php :
وهي ثغره من نوع CrossSite ******ing وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )

الترقيع:

* قم بفتح ملف editpost.php وابحث عن السطر التالي:

$edit['title'] = trim($_POST['title']);

إستبدله بهذا السطر

$edit['title'] = trim(xss_clean($_POST['title']));

* احفظ الملف .

==========================================

3- ثغرة ملف authorize.php:
وهي ثغره من نوع SQL Injection.

وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل وهنا بعض التفاصيل عن الثغره:
http://www.securiteam.com/unixfocus/5BP0E15E0M.htm l


==========================================

4- إذا كانت لوحة تحكم المشرف العام مفتوحه
للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
عن طريق htaccess .
ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
بعدها قم بفتح ملف config.php وابحث عن كلمة admincp
وضع بدلاً منها اسمك الجديد .


==========================================

5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط

اتمنى ان الشرح اعجبكم
للعلم جميع النسخ مصابة بهذه الثغرات






التوقيع
افا ليه
  #3  
قديم 06-08-2006, 08:10 PM
v_i_p v_i_p غير متصل
عضو
 
تاريخ التسجيل: Jul 2006
المدينة: السعوديه
مشاركة: 71
مستوى تقييم العضوية: 18
v_i_p is on a distinguished road
الافتراضي

+ طريقة حماية مضمونة الكل يدخل.

config.php هو اخطر ملف بالمنتدى لان يحمل اهم شي في المنتدى لانه في قاعدة البيانات واذا عرفها يقدر يتصل يقاعدة البيانات واظن مالكم الاتشفرون او تغيرون اسم وراح انرل درس عم قريب انشلءالله

بسم الله نبداء عن كيفية حماية المواقع/

1-المستضيف/من المعروف ان الكثير اذا اراد ان يحجز موقعة يدور على الشركات الرخيصة...خطا يااخوان ..اول طريقة ابحث عن مستضيف قوى ومعروف بالحماية ومايحتاج اذكر شىء لانة متوفرات والحمد لله ..

2-كلمة المرور(password) لاتجعل كلمة الباسورد تبع موقعك سهل او رقم تليفونك او اسمك او اسم واحد عزيز عليك لانة يخمن بسهولة!!..اجعلها حروف وارقام ورموز ايضا..

3- عدم استخدام السكريبتات المجانية فاكثراها مليئة بالثغرات

4-عدم وضع اى نسخة احتياطية كاملة للموقع في أي مجلد من مجلدات السيرفر فى موقعك

5-حماية مجلدات الادمن(admin)بجدار نارى وهذا اهم شىء تقوم بة خصوصا عندما تقوم بتركيب منتدى او اى سكربت ...وساقوم بشرحة هنا ان شاء الله..علما ان شرح حماية المجلدات منقول من الاخ ******* /

ادخل السى بانل :
www.xxxxxxx.com:2082
او: www.xxxxxxxx.com/cpanel


تفتح لك صفحة جديدة أختار منها مجلد المنتدى بالضغط على صورة المجلد وليس أسمه

الأن حنا نبي نحمي مجلد الأدمن يعني نضغط على أسم المجلد

تفتح لنا صفحة الحماية للمجلدات نقوم بالخطوة الأولى وهي من الجزء العلوي للصفحة ونسجل أسم للنافذه اللي تطلع لتسجيل فيها اليوزر والباسوور ( تقدر تكت أي شي تبيه ) وتأشر على المربع وتضغط على save .

بعد ضغطك على save تطلع لك صفحة أضغط منها على

للعودة إلى نفس الصفحة السابقة للحماية الأضافيه ومنها نقوم بأخر خطوة وهي في الجزء السفلي من الصفحة لوضع أسم مستخدم وكلمة سر للحماية الأضافية لمجلد الأدمن للمنتدى .

وبكذا وضحنا بشكل واضح ان شاء الله كيف تحمى مجلدات موقعك!

6-عدم وضع كلمات المرور في ملف واحد و تضعة في جهازك لانة بسهولة راح يكتشف

7-عدم اعطاء اى شخص الباسورد مهما حصل لانة حدثت حالات اختراق كثيرة بسبب الثقة

7-مايحتاج اقول هالخطوة وهى حماية جهازك من ملفات التجسس لانة بسهولة راح يروح موقعك

8-تغير اسم الادمن لـvb لزيادة الامان لانة اللى يخترق منتداك يقدر يخترق موقعك وهاذى طريقة تغير ملف الادمن لـ الجيل الثالث لان اكثر الشباب مركبينة:
أدخل ملف الكوفنق ودور على:
$admincpdir = 'admincp';
$modcpdir = 'modcp';

غير admincp الى اى اسم تبية...ولا تنسى تغير اسم المجلد داخل الفتب






التوقيع
افا ليه
  #4  
قديم 07-08-2006, 03:52 PM
كـريمـ كـريمـ غير متصل
عضو
 
تاريخ التسجيل: Apr 2006
المدينة: مــ .. ــصــ .. ــر
مشاركة: 166
مستوى تقييم العضوية: 0
كـريمـ is on a distinguished road
إرسال رسالة عبر ICQ إلى كـريمـ إرسال رسالة عبر  AIM إلى كـريمـ إرسال رسالة عبر MSN إلى كـريمـ إرسال رسالة عبر Yahoo إلى كـريمـ
الافتراضي

بالتوفيـــ ... ـــق ،،،،






التوقيع
تم حذف التوقيع لإختراقه قوانين الويب العربى
عزيزى العضو:يمكنك الآن تعديل توقيعك بما يتناسب مع قوانين الويب العربى.
  #5  
قديم 07-08-2006, 04:05 PM
القمة نت القمة نت غير متصل
عضوية مغلقة
 
تاريخ التسجيل: Aug 2006
المدينة: E G ¥ P T وا افتخر
مشاركة: 321
مستوى تقييم العضوية: 0
القمة نت is on a distinguished road
إرسال رسالة عبر ICQ إلى القمة نت إرسال رسالة عبر  AIM إلى القمة نت إرسال رسالة عبر MSN إلى القمة نت إرسال رسالة عبر Yahoo إلى القمة نت
الافتراضي

بالتوفق للجميع ان شاء الله





  #6  
قديم 07-08-2006, 06:38 PM
v_i_p v_i_p غير متصل
عضو
 
تاريخ التسجيل: Jul 2006
المدينة: السعوديه
مشاركة: 71
مستوى تقييم العضوية: 18
v_i_p is on a distinguished road
الافتراضي

مشكورين على المرور






التوقيع
افا ليه
  #7  
قديم 07-08-2006, 11:07 PM
v_i_p v_i_p غير متصل
عضو
 
تاريخ التسجيل: Jul 2006
المدينة: السعوديه
مشاركة: 71
مستوى تقييم العضوية: 18
v_i_p is on a distinguished road
الافتراضي

؟؟؟؟؟؟؟؟؟؟؟؟؟






التوقيع
افا ليه
موضوع مغلق



خيارات الموضوع
طريقة العرض

قوانين المشاركة
لا يمكنك إضافة موضوع جديد
لا يمكنك الرد على المواضيع
لا يمكنك إضافة مرفقات
لا يمكنك تعديل مشاركاتك

كود vB متاح
كود [IMG] متاح
كود HTML مغلق
إنتقل إلى

مواضيع مشابهة
الموضوع الكاتب القسم مشاركة آخر مشاركة
دروس منتقاة في حماية السيرفرات أرجو التثبيت arabkit أمن المعلومات 63 11-12-2011 10:25 PM
مواقع شركات توظيف - أرجو التثبيت alnajem شركات تعرض وظائف 6 04-11-2008 05:28 AM
::: الحديث الشريف الذي جمع فأوعي ::: أرجو التثبيت ::: أحمد شهبه المنتدى العام 19 02-11-2008 08:36 PM
برنامج Ftp الجديد سريع ومن غير تنصيب............... أرجو التثبيت hdoe تطويرالمواقع 10 24-11-2007 01:42 PM


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 01:21 PM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


 
 »  خدمات البرمجة   »  رئيسية الدليل
  »  خدمات التصميم   »  الأمن والحماية
  »  الدعاية والتسويق
  »  الدعم والتطوير
  »  الشركات الرسمية
  »  حجز دومينات
  »  خدمات الإستضافة
 
 
  »  مكتبة الإستايلات   »  رئيسية المكتبة
  »  أكواد برمجية   »  أدوات الويب ماسترز
  »  مكتبة الهاكات   »  أدوات المصممين
  »  سكربتات متنوعة
  »  مجلات إلكترونية
  »  بلوكات متنوعة
  »  ثيمات مختلفة
 
 

صحيفة متخصصة في متابعة أخبار وجديد الإنترنت العربي
والحوارات الصحفية ومعلومات تقنية متنوعة .

   
 
 

للتواصل مع فريق عمل الويب العربي
يمكنك ذالك من خلال مركز الدعم والمساندة.

 الدعم الفني |  اعتماد العضويات |  قوانين الإنتساب |  إتفاقية الإستخدام |  أهداف الويب العربي |  دليل الشركات |  مكتبة الويب |  صحيفة الويب العربي |  الرئيسية