ركن تطوير منتديات vb3.8.0 : :: يمنع منعاً باتا ً .. كتابة اي موضوع يهتم بمشاكل المنتديات (( يمنع وضع نسخ vBulletin ))

سد و ترقيع جميع الثغرات و حماية المنتدى | احمي منتداك من الاختراق

صورة 'السندبآد' الرمزية
السندبآد
||| عضو التميز |||
تاريخ الإنضمام: 16 - 07 - 2009
رقم العضوية : 67780
الدولة : Egypt
المشاركات: 14,830
قديمة 31 - 03 - 2010, 17:16
المشاركة 1
نشاط السندبآد
  • قوة السمعة : 2369
  • الإعجاب: 2752
    Iconrote سد و ترقيع جميع الثغرات و حماية المنتدى | احمي منتداك من الاختراق


    السلام عليكم و رحمة الله و بركاته


    اليوم سنقوم بعمل ترقيعات بسيطه لبرنامج الـ vBulletin و طبعاً ليست مثل الترقيعات التي كنا نسمع عنها قديماً مثل ثغره بالمتواجدون الأن و ثغره بالتقويم و ثغره بالأسئله الشائعه لا لا إحتمال هذا كان يوجد في النسخ القديمه لكن النسخ الجديده اكثر حمايه و امان من النسخ القديمه ( لذلك ننصح بالترقيه المستمر إلي آخر إصدار حتى نتفادي أي اخطاء برمجيه او ثغرات في الإصدارات القديمه )

    سنقوم في هذا الدرس بعمل ترقيعات لثغرات خفيفه مثل ثغره التحويل ( و التي يمكن سدها عن طريق الكلمات الممنوعه ) و لكن سنقوم سدها عن طريق التعديل على الملفات حتى لا نسبب بعض المشاكل في المنتدى بسبب منع كلمات يمكن ان تكون ضرورية لصاحب المنتدى


    يلا مش هكتر عليكم في الكلام و هنبدأ بالشرح بإذن الله حتى لا يحدث اي ملل خصوصاً انه الدرس هيكون اليوم كله تعديلات على ملفات و اضافات فسوف يكون الدرس شرح كتابي ..

    * ثغرة التحويل :-


    نقوم بفتح الملف newthread.php بأي محرر نصي و ليكن الـ Notepad .

    نقوم بالبحث عن الكود التالي
    رمز PHP:
    $newpost['title'] =& $vbulletin->GPC['subject']; 
    نقوم بإستبداله بالكود التالي

    رمز PHP:
    //------------ Protect-Sites.CoM ---------------
            
    $bandWordsR=strtolower(& $vbulletin->GPC['subject']);
            if(!(
    eregi('content',$bandWordsR)
            or  
    eregi('refresh',$bandWordsR)
            or 
    eregi('equiv',$bandWordsR)
            or 
    eregi('<meta>',$bandWordsR)
            or 
    eregi('meta',$bandWordsR)))
            {
            
    $newpost['title'] =& $vbulletin->GPC['subject'];
            }
            else
            {
            
    $newpost['title'] =htmlspecialchars_uni(& $vbulletin->GPC['subject']);
            }
            if( 
    eregi('script',$bandWordsR)
            and 
    eregi('window',$bandWordsR)
            and 
    eregi('javascript',$bandWordsR)
            and 
    eregi('location',$bandWordsR))
            
    $newpost['title'] ='';
     
     
    //------------ Protect-Sites.CoM --------------- 
    لو قمنا بالتدقيق بالكود نلاحظ انه يوجد به الكلمات التي نقوم بمنعها و للمعلوميه هذه الكلمات الممنوعه تكون ممنوعه في محتوى الموضوع او عنوان الموضوع أي لا تؤثر على شئ ثاني في المنتدى

    -- إنتهينا من سد ثغرة التحويل عن طريق الكود الذي يتم وضعه بالمواضيع

    ثغرة التحويل بهاك الإهداءات :-

    كل ما عليك هو تركيب الإصدار الجديد منه و هو الإصدار الخامس .. حيث عند تركيبك للإصدار الجديد لن تحتاج الي التعديل على ملفات و سد اي ثغرات حيث تم سد الغرات بالإصدار الجديد و خالي من اي مشاكل .

    بعد ذلك نقوم إضافة هاك منع استغلال ثغرة التحويل في الاحصائيات + آخر عشر مواضيع والهاك موجود بالمرفقات بإسم product-protect_from_xss

    ملاحظات مهمه :-

    - تأكد من انه تم تعطيل لغه الـ HTML من جميع اقسام المنتدى .
    - تأكد من ان الهاكات التي تقوم برفعها خاليه من الثغرات و ايضاً عليك الترقيه المستمره لأي هاكات يتم صدور اصدار جديد منها حتى تتفادي اي ثغرات موجوده بالإصدارات القديمه .

    ** إنتهينا من سد ثغرات التحويل و ترقيعها **

    الأن نأتي إلي سد الثغرات التي تتعلق بالإستايل و إختراق الإستايل .

    سنقوم الأن بترقيع ثغرة spacer_open و spacer_close .. تابع معي ،

    نقوم بفتح الملف global.php الموجود داخل مجلد المنتدى الرئيسي بأي محرر نصي و ليكن Notepad

    نقوم بالبحث عن

    رمز PHP:
    fetch_template('spacer_open'
    نقوم بتغير spacer_open إلي أي أسم نريده .

    مثال قمت بتغيره إلي magic_open فأصبح الكود على الشكل التالي


    رمز PHP:
    fetch_template('magic_open'
    ثم نقوم بالبحث عن

    رمز PHP:
    fetch_template('spacer_close'
    و نقوم بتغير spacer_close إلي اي اسم أخر و لكن ليس نفس الإسم الذي قمنا بتغيره في الخطوه السابقه

    مثال قمت بتغيره إلي magic_close فأصبح الكود على الشكل التالي

    رمز PHP:
    fetch_template('magic_close'
    قم بحفظ الملف بعد ذلك

    الأن نقوم بالذهاب الي لوحة التحكم admincp و من ثم نقوم بإختيار خيارات الإستايلات و القوالب > التحكم بالإستايلات

    ثم نقوم بالضغط على إضافة قالب جديد

    نضع مكان إسم القالب أول اسم قمنا بتغيره ( أنا قمت بتغيره إلي magic_open )

    ثم نضع الكود التالي في محتوى القالب
    رمز PHP:
    <!-- open content container -->
    <if 
    condition="$show['old_explorer']">
        <
    table cellpadding="0" cellspacing="0" border="0" width="$stylevar[outertablewidth]align="center"><tr><td class="page" style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px">
    <else />
    <
    div align="center">
        <
    div class="page" style="width:$stylevar[outerdivwidth]; text-align:$stylevar[left]">
            <
    div style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px">
    </if> 
    ثم اضغط حفظ

    ثم نقوم بإضافة قالب جديد مره أخرى

    نضع مكان إسم القالب أول اسم قمنا بتغيره ( مثلاً انا قمت بتغيره إلي magic_close )

    ثم نضع الكود التالي في محتوى القالب

    رمز PHP:
    <if condition="$show['old_explorer']">
     </
    td></tr></table>
    <else />
      </
    div>
     </
    div>
    </
    div>
    </if>
    <!-- / 
    close content container --> 
    ثم اضغط حفظ

    نقوم بطبيق هذا على جميع الإستايلات التي تستخدمها ..

    الأن باقي عليك رفع هاك تعطيل تلغيم الإستايل و هو موجود بالمرفقات .

    ** إنتهينا من حماية الإستايل **

    - ثغرة فلود التسجيل :-

    يتم حل هذه الثغره عن طريق تفعيل صورة التحقق في التسجيل و تكون عن طريق التالي

    خيارات المنتدى > خيارات تسجيل الأعضاء > التحقق من الصورة ( إختر نعم )

    **إنتهينا من ثغرة فلود التسجيل **

    انتهى وبالتوفيق
    الملفات المرفقة
    نوع الملف : zip product-protect_from_xss.zip (843 بايت, عدد مرات المشاهدة 692 مرة)
    نوع الملف : zip تعطيل إستغلال تلغيم الستايل.zip (593 بايت, عدد مرات المشاهدة 750 مرة)
    أبو سيف, mianold, omar aliraqi و 2 آخرون معجبون بهذا.
    • اعتذر عن عدم دخولي في الفتره السابقه ولكن لظروف خارجه عن ارادتي !!
    قديمة 31 - 03 - 2010, 17:20
    المشاركة 2
    صورة 'احمد الجرفان' الرمزية
    احمد الجرفان
    ||| عضو التميز |||
    تاريخ الإنضمام: 15 - 10 - 2009
    رقم العضوية : 73197
    العمر: 20
    المشاركات: 12,358
    افتراضي
    :

    رائئع ماشاءالله ,, كفيت و وفيت :$ ~
    :
    يعطيك العافيه يالغلا ~
    دلع قايز سابقا*

    سبحان الله وبحمده .. سبحان الله العظيم
    ♡'

    # انا هنا - \\ انستقرام : ahmad_g94
    قديمة 31 - 03 - 2010, 23:46
    المشاركة 3
    صورة 'دمعة عمر' الرمزية
    دمعة عمر
    :: عضو نشيط ::
    تاريخ الإنضمام: 08 - 03 - 2007
    رقم العضوية : 32993
    الدولة : السعودية
    المشاركات: 2,146
    • أرسل رسالة بواسطة MSN إلى دمعة عمر
    • أرسل رسالة بواسطة Skype™ إلى دمعة عمر
    افتراضي
    الف شكر لك
    تم العمل

    www.d-3amr.com/vb
    شبكة دمعة عمر النسائية
    اول موقع رومانسي على الانترنت

    الموقع - www.d-3amr.com
    المنتديات - www.d-3amr.com/vb
    المدونة- www.d-3amr.com/blog
    مكتبة الالعاب - www.d-3amr.com/games
    ترجمة النصوص- www.d-3amr.com/tarjm
    دليل المواقع- www.d-3amr.com/links

    WwW.D-3AMR.CoM
    سبحان الله وبحمده ... سبحان الله العظيم
    قديمة 01 - 04 - 2010, 00:01
    المشاركة 4
    ولد حرب
    :: عضو نشيط ::
    تاريخ الإنضمام: 15 - 01 - 2006
    رقم العضوية : 16430
    المشاركات: 5,119
    افتراضي

    الله يـعـطـيـك الـعـافيـــــــــــة
    بيض الله وجهك
    قديمة 01 - 04 - 2010, 00:10
    المشاركة 5
    صورة 'R a K a n' الرمزية
    R a K a n
    .:: عضو متألق ::.
    تاريخ الإنضمام: 25 - 10 - 2005
    رقم العضوية : 10841
    الدولة : الرياض
    المشاركات: 6,597
    افتراضي
    يعطيك العافيه اخوي السندباد

    شرح لا بأس به ولكن ليست الحمايه الكافيه

    واذا مافي حمايه بالسيرفر لاتتعب نفسك وتسوي حمايه للمنتدى

    في أمان الله .. ياشعب ترايدنت وياعالم الإنترنت

    skype : rakan7m
    kik : r7000
    قديمة 01 - 04 - 2010, 00:32
    المشاركة 6
    صورة 'شات' الرمزية
    شات
    :: عضو نشيط ::
    تاريخ الإنضمام: 15 - 10 - 2009
    رقم العضوية : 74704
    الدولة : Ye
    المشاركات: 1,962
    افتراضي
    كفيت و وفيت

    تسلم خيووو
    أَلَمْ يَأْنِ لِلَّذِينَ آمَنُوا أَن تَخْشَعَ قُلُوبُهُمْ لِذِكْرِ اللَّهِ


    قديمة 01 - 04 - 2010, 01:33
    المشاركة 7
    فنتاستك
    :: عضو نشيط ::
    تاريخ الإنضمام: 21 - 11 - 2007
    رقم العضوية : 45116
    الدولة : .
    المشاركات: 318
    افتراضي
    شكرا لك

    ================
    هل ممكن اعرف اين هذه الثغره
    مني . او ملفات المنتدى
    او السيرفر

    اختراق المنتدى برفع استايل على لوحة التحكم باتش وتغيير قالب الفروم هوم لجميع الاستايل
    وحذف مواضيع المنتدىرقم واحد واثنين

    علماً ان المنتدى محمي بنفس طريقتك رابط لوحة التحكم متغير وغير مسجل في الكونقفير
    يعني رابط خاص

    وين المشكله هل هي بالسيرفر
    حين اموت..!
    لن تكتب صحف الصباح نعى!
    ولن تفتقدنى الفراغات المعلقه...
    سيتبادل من كانو اصدقائى
    موتى عبرsms
    ويحتل رجل اخر
    مكانى في الحياه
    لن تبكى عليا سوى
    امى..!
    انتهت الحكايه
    ....
    قديمة 01 - 04 - 2010, 02:14
    المشاركة 8
    حمل ون
    :: عضو نشيط ::
    تاريخ الإنضمام: 15 - 10 - 2009
    رقم العضوية : 73834
    الدولة : الرياض
    المشاركات: 769
    افتراضي
    يعطيك العافيه شرح واضح ومميز تستاهل ++
    قديمة 01 - 04 - 2010, 03:01
    المشاركة 9
    صورة 'شعار الحرية' الرمزية
    شعار الحرية
    :: عضو نشيط ::
    تاريخ الإنضمام: 22 - 01 - 2006
    رقم العضوية : 17126
    الدولة : الوطن العربي الحبيب
    المشاركات: 2,624
    افتراضي
    شكرا جزيلا
    اللوٍرٍد ميدوٍ معجب بهذا.
    قديمة 01 - 04 - 2010, 19:08
    المشاركة 10
    صورة 'السندبآد' الرمزية
    السندبآد
    ||| عضو التميز |||
    تاريخ الإنضمام: 16 - 07 - 2009
    رقم العضوية : 67780
    الدولة : Egypt
    المشاركات: 14,830
    افتراضي
    شكرا على مروركم

    واكيد حماية السيرفر جزء اساسي لحماية المنتدى وسلامته

    وبالتوفيق لكم
    • اعتذر عن عدم دخولي في الفتره السابقه ولكن لظروف خارجه عن ارادتي !!
    قديمة 07 - 06 - 2010, 05:40
    المشاركة 11
    صورة 'محمد عياد' الرمزية
    محمد عياد
    :: عضو نشيط ::
    تاريخ الإنضمام: 24 - 01 - 2008
    رقم العضوية : 50905
    الدولة : مصر
    المشاركات: 390
    • أرسل رسالة بواسطة Yahoo إلى محمد عياد
    افتراضي
    خالص الشكر والتقدير على هذا المجهود الكبير

    ████████████████
    مدرستي دوت كوم
    ████████████████

    قديمة 07 - 06 - 2010, 06:02
    المشاركة 13
    sIsQo
    .:: عضو متألق ::.
    تاريخ الإنضمام: 16 - 07 - 2009
    رقم العضوية : 67773
    الدولة : شام
    العمر: 26
    المشاركات: 5,923
    افتراضي
    مبدع يا بطل

    تحياتي
    برب
    قديمة 07 - 06 - 2010, 08:20
    المشاركة 14
    سلاف
    :: عضو نشيط ::
    تاريخ الإنضمام: 08 - 03 - 2007
    رقم العضوية : 33113
    الدولة : في المملكة العربية السعودية
    المشاركات: 2,360
    افتراضي
    هل فعلا الاهداءات تم سد ثغراته

    يعني هل اركبه بامان او لا
    قديمة 07 - 06 - 2010, 08:35
    المشاركة 15
    صورة 'h-qlbi.com' الرمزية
    h-qlbi.com
    :: عضو نشيط ::
    تاريخ الإنضمام: 15 - 10 - 2009
    رقم العضوية : 73092
    الدولة : فلسطين
    المشاركات: 514
    افتراضي
    مشكور ويعطيك الف عافية لكن التعديل في الاهدائات القديم
    اضافة رد
    العلامات المرجعية

    سد و ترقيع جميع الثغرات و حماية المنتدى | احمي منتداك من الاختراق


    كـود رائـع تعال شوف [ شرح ] حل مشكلة المنتدى المخترق بواسطة Redirects | حصري لمعهد ترايدنت

    أدوات الموضوع
    طرق العرض



    الساعة معتمدة بتوقيت جرينتش +3 . الساعة الآن : 01:20.
    المعهد غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء
    فعلى كل شخص تحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه
    التعليقات المنشورة لا تعبر عن رأي معهد ترايدنت ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر)

    جميع الحقوق محفوظة Traidnt 2015
    • 009669200920037
    • 00966138648289
    • 2051033691
    Powered by vBulletin® Version 3.8.7 .Copyright ©2000 - 2015, Jelsoft Enterprises Ltd
    SEO by vBSEO ©2011, Crawlability, Inc.