nasro24
09-02-2009, 12:12 PM
:type:
السلام عليكم و رحمة الله و بركاته اليوم احببت اني احط موضوع خاص عن حماية منتديات نوع vb لان الاختراق يعلم الحماية
اهم شي لانو اذا كان فيه ثغرات
مهما كان المنتدى محمي رح يخترق
هذا الموضوع مهما جداااا بالنسبة لاصحاب منتديات
vb
مقدمة
اول شي رح قول انو ما في شي محمي 100 بالمية
لانو كل يوم في ثغرات جديدة
ومهما كانت قوة الموقع ممكن يخترق
على سبيل المثال ميكروسوفت اخترقوه من فترة
واحد السعوديين وقف الياهو 7 دقايق
واختراق موقع zone-h
يلي بسجل اختراقات بثغرات كوكيز
رغم الخبرة البرمجية لاصحاب ها لشركات
وقبل ما بلش في كتير من الناس (رح شبهون بالاطفال)
يلي بيتعلمو ثغرة وبيخترقو مواقع من خلالها بدون سبب
وبيحكو انو هني هواكر هههههههههههههههه
وتعا اسالون عن شي ثغرة او عن طريقة الحماية بفوتو بالحيط
وتعا اسالون عن لغات البرمجة كمان بفوتو بالحيط
ههههههههههههههههههههههه
يالله نبلش
----------------------------------------
حماية منتديات vb
- هي المنتديات انشهرت كتير كتير
بس هالشي كان سبب لزيادة عدد الهواكر
يعني يلي بدو يتعلم هاكر بيتعلم اختراق المنتديات vb
بسبب انتشارها
وانا رح اشرح طريقة اغلاق الثغرات متل ما عامل عندي بالموقع
-----
اول شي انا مابقتنع بشي اسمو شريط اهداء
مهما كان محمي
لانو انا قادر حط في كودات بتسرق كل بيانات الاعضاء مهما كان محمي وحمايتو قوية هاك الاهداء
ولو مسموح هالشي هون كنت شرحت الطريقة
وفي كمان صندوق الحوار بالمنتدى مابقتنع في لانو بيفتح شارع من الثغرات
مهما كان محمي
ونفس لحكاية سكريبت اخر عشر مواضيع
لانو طلع الو
10 ثغرات
حتى بالاصدارات الجديدة
وبعدين منروح للكونفينغ config.php
في برنامج اسمو زيند
الشرح
ثغرة حديثة جدا تمكن من قراءة محتويات ملف الكونفيق
config.php
هى فى الحقيقة ليست ثغرة فى موقع ولكنها ثغرة فى بعض السيرفرات
درجة الخطورة : خطيرة جدا جدا جدا
مكتشف الثغرة : مجهول
نوع الثغرة : config editor
الثغرة تمكن من قراءة ملف الكونفيق عن طريق سكربت برمجى يرفع على نفس السيرفر المرفوع عليه الموقع
حل الثغرة التشفير لملف الكونفيق بواسطة برنامج زند
شوفو الكونفينغ كيف بصير بعد التشفير اكواد مختلطة
كمان لازم تغير اسم الكونفينغ بمجلد الانكلود
ولاتنسوا حائط الصد الناري على الانكلود
حماية مجلد install
اول طريقة انو نشفرو ببرنامج الزيند يلي حكيت عنو ونفعل عليه الجدار الناري
بلوحة cpanel
وتاني شي في اصحاب مواقع بيحذفو كلو وانا مابفضل هالطريقة
-----------------
- حظـر بعض الكلمات من لوحة المنتدى ..
من لوحة تحكم المنتدى نحظر بعـض الكلمات فى الكلمات الممنوعة
مثل c ook
c ooki
c ookie
c ookies
C OOK
C OOKI
C OOKIE
C OOKIES
----------------------------
تعديـل الملفات الثـلاثـة showgroups.php - memberlist.php - online.php
--------------------------------
اغـلاق الارشـــيف archive ..
فى الاونة الاخـيرة طـلعتلنا ثغـرة الارشـيف حلها اننا نعمل حماية على مجلد الـ archive
-----------------------
مسح رقم الاصــدار اسـفل المنتدى .
مقصـود برقـم اصـدار المنتدى الاتى :
Powered by vBulletin Version 3.6.8
Copyright ©2007- 2008lsoft Enterprises Ltd
طيب شو اهمية الموضوع ؟؟؟؟؟؟؟؟؟؟؟؟؟؟
اهميـة الموضوع ان المخترق اول شي بشوف المنتدىمشان يعرف الثغرة الماسبة ليخترق المنتدى ويرفع شيل
من لوحـة تحكم المنتدى ...
البحــث فى العبارات ..
وابحـث عن الاتى
Powered by vBulletin Version {1}<br />Copyright ©2000 - {2}, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.1.0
واستبدله بـ
Powered by vBulletin<br />Copyright ©2000 - {2}, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.1.0
الاصدار رح يكون تحت
Powered by vBulletin Version 3.6.8
Copyright ©2007- 2008lsoft Enterprises Ltd
---------
ثغرة الرسائل الخاصه:
من واقع التجربه فللأسف مازالت هذه الثغره منشره الى حد كبير جدا وخصوصا المواقع
العربيه
الترقيع للثغره :
فى ملف private.php
إبحث عن الكود التالى
شفرة:
// trim the text fields
$pm['title'] = trim($pm['title']);
$pm['message'] = trim($pm['message']);
و إستبدله بالاتى
شفرة:
// trim the text fields
$pm['title'] = trim(xss_clean($pm['title']));
$pm['recipients'] = trim(xss_clean($pm['recipients']));
$pm['message'] = trim($pm['message']);
واحفظ الملف
السلام عليكم و رحمة الله و بركاته اليوم احببت اني احط موضوع خاص عن حماية منتديات نوع vb لان الاختراق يعلم الحماية
اهم شي لانو اذا كان فيه ثغرات
مهما كان المنتدى محمي رح يخترق
هذا الموضوع مهما جداااا بالنسبة لاصحاب منتديات
vb
مقدمة
اول شي رح قول انو ما في شي محمي 100 بالمية
لانو كل يوم في ثغرات جديدة
ومهما كانت قوة الموقع ممكن يخترق
على سبيل المثال ميكروسوفت اخترقوه من فترة
واحد السعوديين وقف الياهو 7 دقايق
واختراق موقع zone-h
يلي بسجل اختراقات بثغرات كوكيز
رغم الخبرة البرمجية لاصحاب ها لشركات
وقبل ما بلش في كتير من الناس (رح شبهون بالاطفال)
يلي بيتعلمو ثغرة وبيخترقو مواقع من خلالها بدون سبب
وبيحكو انو هني هواكر هههههههههههههههه
وتعا اسالون عن شي ثغرة او عن طريقة الحماية بفوتو بالحيط
وتعا اسالون عن لغات البرمجة كمان بفوتو بالحيط
ههههههههههههههههههههههه
يالله نبلش
----------------------------------------
حماية منتديات vb
- هي المنتديات انشهرت كتير كتير
بس هالشي كان سبب لزيادة عدد الهواكر
يعني يلي بدو يتعلم هاكر بيتعلم اختراق المنتديات vb
بسبب انتشارها
وانا رح اشرح طريقة اغلاق الثغرات متل ما عامل عندي بالموقع
-----
اول شي انا مابقتنع بشي اسمو شريط اهداء
مهما كان محمي
لانو انا قادر حط في كودات بتسرق كل بيانات الاعضاء مهما كان محمي وحمايتو قوية هاك الاهداء
ولو مسموح هالشي هون كنت شرحت الطريقة
وفي كمان صندوق الحوار بالمنتدى مابقتنع في لانو بيفتح شارع من الثغرات
مهما كان محمي
ونفس لحكاية سكريبت اخر عشر مواضيع
لانو طلع الو
10 ثغرات
حتى بالاصدارات الجديدة
وبعدين منروح للكونفينغ config.php
في برنامج اسمو زيند
الشرح
ثغرة حديثة جدا تمكن من قراءة محتويات ملف الكونفيق
config.php
هى فى الحقيقة ليست ثغرة فى موقع ولكنها ثغرة فى بعض السيرفرات
درجة الخطورة : خطيرة جدا جدا جدا
مكتشف الثغرة : مجهول
نوع الثغرة : config editor
الثغرة تمكن من قراءة ملف الكونفيق عن طريق سكربت برمجى يرفع على نفس السيرفر المرفوع عليه الموقع
حل الثغرة التشفير لملف الكونفيق بواسطة برنامج زند
شوفو الكونفينغ كيف بصير بعد التشفير اكواد مختلطة
كمان لازم تغير اسم الكونفينغ بمجلد الانكلود
ولاتنسوا حائط الصد الناري على الانكلود
حماية مجلد install
اول طريقة انو نشفرو ببرنامج الزيند يلي حكيت عنو ونفعل عليه الجدار الناري
بلوحة cpanel
وتاني شي في اصحاب مواقع بيحذفو كلو وانا مابفضل هالطريقة
-----------------
- حظـر بعض الكلمات من لوحة المنتدى ..
من لوحة تحكم المنتدى نحظر بعـض الكلمات فى الكلمات الممنوعة
مثل c ook
c ooki
c ookie
c ookies
C OOK
C OOKI
C OOKIE
C OOKIES
----------------------------
تعديـل الملفات الثـلاثـة showgroups.php - memberlist.php - online.php
--------------------------------
اغـلاق الارشـــيف archive ..
فى الاونة الاخـيرة طـلعتلنا ثغـرة الارشـيف حلها اننا نعمل حماية على مجلد الـ archive
-----------------------
مسح رقم الاصــدار اسـفل المنتدى .
مقصـود برقـم اصـدار المنتدى الاتى :
Powered by vBulletin Version 3.6.8
Copyright ©2007- 2008lsoft Enterprises Ltd
طيب شو اهمية الموضوع ؟؟؟؟؟؟؟؟؟؟؟؟؟؟
اهميـة الموضوع ان المخترق اول شي بشوف المنتدىمشان يعرف الثغرة الماسبة ليخترق المنتدى ويرفع شيل
من لوحـة تحكم المنتدى ...
البحــث فى العبارات ..
وابحـث عن الاتى
Powered by vBulletin Version {1}<br />Copyright ©2000 - {2}, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.1.0
واستبدله بـ
Powered by vBulletin<br />Copyright ©2000 - {2}, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.1.0
الاصدار رح يكون تحت
Powered by vBulletin Version 3.6.8
Copyright ©2007- 2008lsoft Enterprises Ltd
---------
ثغرة الرسائل الخاصه:
من واقع التجربه فللأسف مازالت هذه الثغره منشره الى حد كبير جدا وخصوصا المواقع
العربيه
الترقيع للثغره :
فى ملف private.php
إبحث عن الكود التالى
شفرة:
// trim the text fields
$pm['title'] = trim($pm['title']);
$pm['message'] = trim($pm['message']);
و إستبدله بالاتى
شفرة:
// trim the text fields
$pm['title'] = trim(xss_clean($pm['title']));
$pm['recipients'] = trim(xss_clean($pm['recipients']));
$pm['message'] = trim($pm['message']);
واحفظ الملف