تراجع إلى الخلف   :: TRAIDNT FORUM :: > قسم تطوير المنتديات > ركن تطوير منتديات vb3.8.0 > ركن ثغرات النسخه الثالثه
اعادة تحديث هذه الصفحة لحماية أفضل لمنتداك( تفضل هنا )
التسجيل دعوة أصدقائك البحث مشاركات اليوم أعتبر مشاركات المنتدى مقروءة

ركن ثغرات النسخه الثالثه لجميع النسخ التاليه : [vB3.8.0] +[vB3.7.0] +[vB3.6.0] + [vB3.5.0] + [vB3.0.0] : هذا الركن لايقبل إضافة أي مشاركه

لحماية أفضل لمنتداك( تفضل هنا )

لحماية أفضل لمنتداك في البداية ثغرات في المجلدات admincp و includes و modcp و install و طريقة ترقيعها طريقة حماية هذه المجلدات سهلة جدا من

 
 
LinkBack
  #1  
قديمة 20 - 02 - 2006, 00:27 عبدالله الحصان غير متواجد حاليآ بالمنتدى
صورة 'عبدالله الحصان' الرمزية
:: عضو شرف ::
بيانات موقعي
اصدار المنتدى: VB 3.6.8
 







عبدالله الحصان مبدع بلا حدودعبدالله الحصان مبدع بلا حدودعبدالله الحصان مبدع بلا حدودعبدالله الحصان مبدع بلا حدودعبدالله الحصان مبدع بلا حدودعبدالله الحصان مبدع بلا حدودعبدالله الحصان مبدع بلا حدودعبدالله الحصان مبدع بلا حدودعبدالله الحصان مبدع بلا حدودعبدالله الحصان مبدع بلا حدودعبدالله الحصان مبدع بلا حدود
Icon30 لحماية أفضل لمنتداك( تفضل هنا )


لحماية أفضل لمنتداك

في البداية

ثغرات في المجلدات admincp و includes و modcp و install و طريقة ترقيعها

طريقة حماية هذه المجلدات سهلة جدا

من السى بانل نختار هذه الصوره والضغط عليها بالماوس



بعدها سيظهر لك مجلدات الموقع حدد مجلد المنتدى



نقوم بالضغط على صوره المستند



ستفتح لك صفحه اخرى اختر المجلد المطلوب حمايته .. المطلوب مثلا مجلد الادمن



نقوم بالضغط على الكلمه ستفتح صفحه نضع صح داخل المربع



بعدها ستظهر صفحه اخرى اضغط جو باك



انزل لاسفل املأ البيانات كما هو موضح بالصوره



تقوم بذلك مع المجلد الجديد للادمن والمجلد القديم الفارغ

أهم شيء احميها باسم مستخدم و كلمة مرور
و مجلد install الأفضل أن تحذفه بالكامل و عند التطوير تضع مجلد النسخة الجديدة و تسوي install عادي و هذا يرجع لك المهم إما حماية مجلد install أو حذفه و مجلدي admincp و modcp إذا كان يمكن للهاكر تعدي الحماية و اختراقهم فيمكنك بدلا من أن تحميهم أن تغير اسمهم إلى أي اسم مثل ABDFVadmincp حتى لا يعرف المخترق امتداد المجلد و لكن عند تغيير اسم المجلد يجب أن تذهب لملف config.php الموجود داخل ملجد include و تغيير اسمهم منه أيضا و الطريقة كالتالي:[/color]

افتح ملف config.php و ابحث عن الكود :

رمز PHP:
$admincpdir 'admincp'
و غير اسم admincp إلى الاسم الذي اخترته من قبل للمجلد

و ابحث عن الكود التالي أيضا :

رمز PHP:
$modcpdir 'modcp'
و غير اسم modcp إلى الاسم الذي اخترته من قبل للمجلد


[line]


الملفات موجودة بمجلد المنتدى الرئيسي :

قبل التعديل احفظ نسخه احتياطية

الملف الاول ملف [glint]أخر 10 مواضيع[/glint]
إبحث عن الداله التاليه
رمز PHP:
$fsel 
و الداله التاليه
رمز PHP:
$ftitle 
[blink]و إحذفهم[/blink]

وهم يكونوا فى ملف ttlast.php
و إن لم تجدهم فيه فستجدهم فى ملف last10.php
انتهى الترقيع لثغرة اخر 10 مواضيع

[line]

[glint]2- ثغرة الرسائل الخاصه:[/glint]
الترقيع للثغره :
فى ملف private.php

إبحث عن الكود التالى
رمز PHP:
// trim the text fields
 $pm['title'] = trim($pm['title']);
 $pm['message'] = trim($pm['message']); 
و إستبدله بالاتى

رمز PHP:
// trim the text fields
 $pm['title'] = trim(xss_clean($pm['title']));
 $pm['recipients'] = trim(xss_clean($pm['recipients']));
 $pm['message'] = trim($pm['message']); 
انتهى الترقيع لثغرة الرسائل الخاصة

[line]

3- ثغرة ملف التعليمات [glint]faq.php[/glint]

الترقيع للثغره :

* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:
رمز PHP:
// initialize some template bits
$faqbits '';
$faqlinks ''
أضف بعدها مايلي:
رمز PHP:
$navbits[''] =$vbphrase['faq']; 
أنتهى الترقيع في ثغرة faq.php

[line]

4- ثغرة [glint]memberlist.php [/glint]

أ- اذهب إلى لوحة تحكم منتداك
ب- من خيارات المنتدى اذهب للخيار (قوائم الأعضاء و مشاهدة الهوية) و قم بالضغط على الخيار ( لا ) في أول الصفحة و احفظ العمل

انتهى

[line]

ثغرة مركز رفع الملفات

اولا: الثغرة متواجده في المراكز التحميل الملفات والهاكات التحميل بـ المنتديات الvb وغيرة وهـي أمتداد (3gp) تمكن المخترق من رفع shell.php.3gp
وهذه الـشيل:::أختراق الموقع + احتمال السيرفر بالكامل
وثغرات مركز التحميل بالامتدادات التالية: rar & jpg & gif & 3gp nEw

يااانك تحذف المركز التحميل وتفتك او انك تفتح المفكرة :: وتحط فيها هذه الكود:

رمز Code:
RemoveType .php .php3 .phtml .pl .cgi .rar .jpg .3gp .gif .asp
htaccess

وتـرفعه على نفس مجلد المركز التحميل من الاف تي بي FTP طبعا
وللعلم
لن تستطيع أن تسمى ملف .htaccess ولكنك ستجعله htaccess.txt وترفعه بالاف تى بى
وتعيد تسميته الى .htaccess بالاف تى بى

انتهى

[line]

ثغرة ملف [glint]editpost.php [/glint]

الترقيع للثغره :
*قم بفتح ملف editpost.php وابحث عن السطر التالي
رمز PHP:
$edit['title'] = trim($_POST['title']); 
وسوف تجدها مرتين

إستبدلهم بالسطر التالى
رمز PHP:
$edit['title'] = trim(xss_clean($_POST['title'])); 
انتهى

[line]

ايضا

اذا كنت مفعل خاصية الفلاش بمنتداك قفل هذي الخاصية + خاصية الــ html وتلقاها في خيارات المنتدى واما اي html ضع No

من الثغرات أيضاُ

أخذف صيغة PSD من الملفات المرفقة

وإضافة كلمة "كوكي" إلى الكلمات الممنوعة

*****بهذه الخطوات جميعها تكون نسبة الحماية لمنتداك بمستوى عالي*****
*ملاحظة : أعتذر ان كانت المعلومات مكررة لكن وضعتها لكثرة الطلبات ولتعم الفائدة
توقيع عبدالله الحصان
 

العلامات المرجعية

« الموضوع السابق | الموضوع التالي »
أدوات الموضوع
طرق العرض
العرض العادي العرض العادي

ضوابط المشاركة
لا يمكنك اضافة مواضيع جديدة
لا يمكنك اضافة مشاركات
لا يمكنك اضافة مرفقات
لا يمكنك تعديل مشاركاتك
رمز [IMG] : متاحة
رمز HTML : معطّلة
المراجع : معطّلة
Refbacks are متاحة



الساعة معتمدة بتوقيت جرينتش +3 . الساعة الآن : 15:10.
المعهد غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء
فعلى كل شخص تحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه
التعليقات المنشورة لا تعبر عن رأي معهد ترايدنت ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر)

إتصل بنا - :: TRAIDNT :: - الأرشيف - Privacy-Policy - اعلى

Powered by vBulletin® Version 3.8.7
.Copyright ©2000 - 2012, Jelsoft Enterprises Ltd

SEO by vBSEO 3.6.0 ©2011, Crawlability, Inc.