prince Admin
عدد الرسائل : 89 دعاء : المزاج : الدوله : تاريخ التسجيل : 13/06/2008
| موضوع: جميع ثغرات نسخة vb3.0 مع طرق أغلاقها . الخميس يوليو 03, 2008 2:42 pm | |
| الثغرات متسلسلة:
1- ثغرات في المجلدات admincp و includes و modcp و install و طريقة ترقيعها
طريقة حماية هذه المجلدات سهلة جدا اضغط هنا و ستجد رابط الموضوع عن كيفية حماية أي مجلد في منتداك و قم بحماية تلك المجلدات أهم شيء أي احميها باسم مستخدم و كلمة مرور و مجلد install الأفضل أن تحذفه بالكامل و عند التطوير تضع مجلد النسخة الجديدة و تسوي install عادي و هذا يرجع لك المهم إما حماية مجلد install أو حذفه و مجلدي admincp و modcp إذا كان يمكن للهاكر تعدي الحماية و اختراقهم فيمكنك بدلا من أن تحميهم أن تغير اسمهم إلى أي اسم مثل ABDFVadmincp حتى لا يعرف المخترق امتداد المجلد و لكن عند تغيير اسم المجلد يجب أن تذهب لملف config.php الموجود داخل ملجد include و تغيير اسمهم منه أيضا و الطريقة كالتالي:
افتح ملف config.php و ابحث عن الكود :
كود:
$admincpdir = 'admincp';
و غير اسم admincp إلى الاسم الذي اخترته من قبل للمجلد
و ابحث عن الكود التالي أيضا :
كود PHP:
كود: $modcpdir = 'modcp';
و غير اسم modcp إلى الاسم الذي اخترته من قبل للمجلد
2- ثغرة ملف last10.php آخر عشرة مواضيع و طريقة إغلاقها
غالبا ما يكون اسم الملف على حسب الاستايل اللي تنزله مثلا اسم ملف آخر عشرة مواضيع last10islamic.php أو last10.php أو ttlast.php و هذه الملفات يمكن أن تلاقي الثغرة موجودة فيها أو ما تلاقيها و يجب عليه إذا كنت محمل أي ملف منهم أن تبحث فيهم عن الكلمتان الآتيتين و حذفهما تماما : افتح ملف آخر عشرة مواضيع و ابحث عن الكود :
كود PHP:
كود: $pm['title'] = trim($pm['title']);
إذا وجدتها في أي ملف لآخر عشرة مواضيع قم بحذفها نهائيا و احفظ العمل و ارفع الملف
و أيضا ابحث عن الكود :
كود PHP:
كود: $pm['title'] = trim(xss_clean($pm['title']));
إذا وجدتها في أي ملف لآخر عشرة مواضيع قم بحذفها نهائيا و احفظ العمل و ارفع الملف
3- ثغرة ملف private.php الرسائل الخاصة و طريقة إغلاقها
افتح ملف private.php الموجود في مجلد منتداك الرئيسي vb و ابحث عن الكود :
كود PHP:
كود: $pm['title'] = trim($pm['title']); و استبدله بالكود التالي :
كود PHP:
كود: $pm['title'] = trim(xss_clean($pm['title']));
4- ثغرة ملف faq.php الأسئلة الشائعة و طريقة إغلاقها
افتح ملف faq.php و ابحث عن الكود :
كود PHP:
كود: // initialize some template bits $faqbits = ''; $faqlinks = '';
و أضف بعده الكود التالي :
كود PHP:
كود: $navbits[''] =$vbphrase['faq'];
5- ثغرة ملف editpost.php تعديل المشاركة و طريقة ترقيعها
افتح ملف editpost.php و ابحث عن الكود :
كود PHP:
كود: $edit['title'] = trim($_POST['title']);
و استبدله بالكود التالي :
كود PHP:
كود: $edit['title'] = trim(xss_clean($_POST['title']));
و في نفس الملف أيضا في أول الملف قم بوضع الكود التالي بعد الكلمة | |
|