سد و ترقيع جميع الثغرات و حماية المنتدى | احمي منتداك من الاختراق

السلام عليكم و رحمة الله و بركاته


اليوم سنقوم بعمل ترقيعات بسيطه لبرنامج الـ vBulletin و طبعاً ليست مثل الترقيعات التي كنا نسمع عنها قديماً مثل ثغره بالمتواجدون الأن و ثغره بالتقويم و ثغره بالأسئله الشائعه لا لا إحتمال هذا كان يوجد في النسخ القديمه لكن النسخ الجديده اكثر حمايه و امان من النسخ القديمه ( لذلك ننصح بالترقيه المستمر إلي آخر إصدار حتى نتفادي أي اخطاء برمجيه او ثغرات في الإصدارات القديمه )

سنقوم في هذا الدرس بعمل ترقيعات لثغرات خفيفه مثل ثغره التحويل ( و التي يمكن سدها عن طريق الكلمات الممنوعه ) و لكن سنقوم سدها عن طريق التعديل على الملفات حتى لا نسبب بعض المشاكل في المنتدى بسبب منع كلمات يمكن ان تكون ضرورية لصاحب المنتدى


يلا مش هكتر عليكم في الكلام و هنبدأ بالشرح بإذن الله حتى لا يحدث اي ملل خصوصاً انه الدرس هيكون اليوم كله تعديلات على ملفات و اضافات فسوف يكون الدرس شرح كتابي ..

* ثغرة التحويل :-

نقوم بفتح الملف newthread.php بأي محرر نصي و ليكن الـ Notepad .

نقوم بالبحث عن الكود التالي
نقوم بإستبداله بالكود التالي

لو قمنا بالتدقيق بالكود نلاحظ انه يوجد به الكلمات التي نقوم بمنعها و للمعلوميه هذه الكلمات الممنوعه تكون ممنوعه في محتوى الموضوع او عنوان الموضوع أي لا تؤثر على شئ ثاني في المنتدى

-- إنتهينا من سد ثغرة التحويل عن طريق الكود الذي يتم وضعه بالمواضيع

ثغرة التحويل بهاك الإهداءات :-

كل ما عليك هو تركيب الإصدار الجديد منه و هو الإصدار الخامس .. حيث عند تركيبك للإصدار الجديد لن تحتاج الي التعديل على ملفات و سد اي ثغرات حيث تم سد الغرات بالإصدار الجديد و خالي من اي مشاكل .

بعد ذلك نقوم إضافة هاك منع استغلال ثغرة التحويل في الاحصائيات + آخر عشر مواضيع والهاك موجود بالمرفقات بإسم product-protect_from_xss

ملاحظات مهمه :-
- تأكد من انه تم تعطيل لغه الـ HTML من جميع اقسام المنتدى .
- تأكد من ان الهاكات التي تقوم برفعها خاليه من الثغرات و ايضاً عليك الترقيه المستمره لأي هاكات يتم صدور اصدار جديد منها حتى تتفادي اي ثغرات موجوده بالإصدارات القديمه .

** إنتهينا من سد ثغرات التحويل و ترقيعها **

الأن نأتي إلي سد الثغرات التي تتعلق بالإستايل و إختراق الإستايل .

سنقوم الأن بترقيع ثغرة spacer_open و spacer_close .. تابع معي ،

نقوم بفتح الملف global.php الموجود داخل مجلد المنتدى الرئيسي بأي محرر نصي و ليكن Notepad

نقوم بالبحث عن

نقوم بتغير spacer_open إلي أي أسم نريده .

مثال قمت بتغيره إلي magic_open فأصبح الكود على الشكل التالي


ثم نقوم بالبحث عن

و نقوم بتغير spacer_close إلي اي اسم أخر و لكن ليس نفس الإسم الذي قمنا بتغيره في الخطوه السابقه

مثال قمت بتغيره إلي magic_close فأصبح الكود على الشكل التالي

قم بحفظ الملف بعد ذلك

الأن نقوم بالذهاب الي لوحة التحكم admincp و من ثم نقوم بإختيار خيارات الإستايلات و القوالب > التحكم بالإستايلات

ثم نقوم بالضغط على إضافة قالب جديد

نضع مكان إسم القالب أول اسم قمنا بتغيره ( أنا قمت بتغيره إلي magic_open )

ثم نضع الكود التالي في محتوى القالب
ثم اضغط حفظ

ثم نقوم بإضافة قالب جديد مره أخرى

نضع مكان إسم القالب أول اسم قمنا بتغيره ( مثلاً انا قمت بتغيره إلي magic_close )

ثم نضع الكود التالي في محتوى القالب

ثم اضغط حفظ

نقوم بطبيق هذا على جميع الإستايلات التي تستخدمها ..

الأن باقي عليك رفع هاك تعطيل تلغيم الإستايل و هو موجود بالمرفقات .

** إنتهينا من حماية الإستايل **

- ثغرة فلود التسجيل :-

يتم حل هذه الثغره عن طريق تفعيل صورة التحقق في التسجيل و تكون عن طريق التالي

خيارات المنتدى > خيارات تسجيل الأعضاء > التحقق من الصورة ( إختر نعم )

**إنتهينا من ثغرة فلود التسجيل **

انتهى وبالتوفيق

الملفات المرفقة

	product-protect_from_xss.zip (843 بايت, عدد مرات المشاهدة 625 مرة)
	تعطيل إستغلال تلغيم الستايل.zip (593 بايت, عدد مرات المشاهدة 674 مرة)

شكرا على مروركم

واكيد حماية السيرفر جزء اساسي لحماية المنتدى وسلامته

وبالتوفيق لكم