الملاحظات
ركن تطوير منتديات vb3.8.0
:: يمنع منعاً باتا ً .. كتابة اي موضوع يهتم بمشاكل المنتديات (( يمنع وضع نسخ vBulletin ))

سد و ترقيع جميع الثغرات و حماية المنتدى | احمي منتداك من الاختراق

السلام عليكم و رحمة الله و بركاته اليوم سنقوم بعمل ترقيعات بسيطه لبرنامج الـ vBulletin و طبعاً ليست مثل الترقيعات التي كنا نسمع عنها قديماً


اضافة رد
رقم المشاركة # 1  
أضيفت بتاريخ 31 - 03 - 2010 عند الساعة 17:16
صورة 'السندبآد' الرمزية
السندبآد
.:: عضو متألق ::.
السندبآد غير متواجد حاليآ بالمنتدى
بيانات موقعي
اسم الموقع: مدونة جوجل العرب
اصدار المنتدى: مدونات
تاريخ الإنضمام: 16 - 07 - 2009
رقم العضوية : 67780
الإقامة: Egypt
المشاركات: 14,830
قوة السمعة : 2248
Iconrote

سد و ترقيع جميع الثغرات و حماية المنتدى | احمي منتداك من الاختراق


السلام عليكم و رحمة الله و بركاته


اليوم سنقوم بعمل ترقيعات بسيطه لبرنامج الـ vBulletin و طبعاً ليست مثل الترقيعات التي كنا نسمع عنها قديماً مثل ثغره بالمتواجدون الأن و ثغره بالتقويم و ثغره بالأسئله الشائعه لا لا إحتمال هذا كان يوجد في النسخ القديمه لكن النسخ الجديده اكثر حمايه و امان من النسخ القديمه ( لذلك ننصح بالترقيه المستمر إلي آخر إصدار حتى نتفادي أي اخطاء برمجيه او ثغرات في الإصدارات القديمه )

سنقوم في هذا الدرس بعمل ترقيعات لثغرات خفيفه مثل ثغره التحويل ( و التي يمكن سدها عن طريق الكلمات الممنوعه ) و لكن سنقوم سدها عن طريق التعديل على الملفات حتى لا نسبب بعض المشاكل في المنتدى بسبب منع كلمات يمكن ان تكون ضرورية لصاحب المنتدى


يلا مش هكتر عليكم في الكلام و هنبدأ بالشرح بإذن الله حتى لا يحدث اي ملل خصوصاً انه الدرس هيكون اليوم كله تعديلات على ملفات و اضافات فسوف يكون الدرس شرح كتابي ..

* ثغرة التحويل :-


نقوم بفتح الملف newthread.php بأي محرر نصي و ليكن الـ Notepad .



نقوم بالبحث عن الكود التالي
رمز PHP:
$newpost['title'] =& $vbulletin->GPC['subject']; 
نقوم بإستبداله بالكود التالي

رمز PHP:
//------------ Protect-Sites.CoM ---------------
        
$bandWordsR=strtolower(& $vbulletin->GPC['subject']);
        if(!(
eregi('content',$bandWordsR)
        or  
eregi('refresh',$bandWordsR)
        or 
eregi('equiv',$bandWordsR)
        or 
eregi('<meta>',$bandWordsR)
        or 
eregi('meta',$bandWordsR)))
        {
        
$newpost['title'] =& $vbulletin->GPC['subject'];
        }
        else
        {
        
$newpost['title'] =htmlspecialchars_uni(& $vbulletin->GPC['subject']);
        }
        if( 
eregi('script',$bandWordsR)
        and 
eregi('window',$bandWordsR)
        and 
eregi('javascript',$bandWordsR)
        and 
eregi('location',$bandWordsR))
        
$newpost['title'] ='';
 
 
//------------ Protect-Sites.CoM --------------- 
لو قمنا بالتدقيق بالكود نلاحظ انه يوجد به الكلمات التي نقوم بمنعها و للمعلوميه هذه الكلمات الممنوعه تكون ممنوعه في محتوى الموضوع او عنوان الموضوع أي لا تؤثر على شئ ثاني في المنتدى

-- إنتهينا من سد ثغرة التحويل عن طريق الكود الذي يتم وضعه بالمواضيع

ثغرة التحويل بهاك الإهداءات :-

كل ما عليك هو تركيب الإصدار الجديد منه و هو الإصدار الخامس .. حيث عند تركيبك للإصدار الجديد لن تحتاج الي التعديل على ملفات و سد اي ثغرات حيث تم سد الغرات بالإصدار الجديد و خالي من اي مشاكل .

بعد ذلك نقوم إضافة هاك منع استغلال ثغرة التحويل في الاحصائيات + آخر عشر مواضيع والهاك موجود بالمرفقات بإسم product-protect_from_xss

ملاحظات مهمه :-

- تأكد من انه تم تعطيل لغه الـ HTML من جميع اقسام المنتدى .
- تأكد من ان الهاكات التي تقوم برفعها خاليه من الثغرات و ايضاً عليك الترقيه المستمره لأي هاكات يتم صدور اصدار جديد منها حتى تتفادي اي ثغرات موجوده بالإصدارات القديمه .

** إنتهينا من سد ثغرات التحويل و ترقيعها **

الأن نأتي إلي سد الثغرات التي تتعلق بالإستايل و إختراق الإستايل .

سنقوم الأن بترقيع ثغرة spacer_open و spacer_close .. تابع معي ،

نقوم بفتح الملف global.php الموجود داخل مجلد المنتدى الرئيسي بأي محرر نصي و ليكن Notepad

نقوم بالبحث عن

رمز PHP:
fetch_template('spacer_open'
نقوم بتغير spacer_open إلي أي أسم نريده .

مثال قمت بتغيره إلي magic_open فأصبح الكود على الشكل التالي


رمز PHP:
fetch_template('magic_open'
ثم نقوم بالبحث عن

رمز PHP:
fetch_template('spacer_close'
و نقوم بتغير spacer_close إلي اي اسم أخر و لكن ليس نفس الإسم الذي قمنا بتغيره في الخطوه السابقه

مثال قمت بتغيره إلي magic_close فأصبح الكود على الشكل التالي

رمز PHP:
fetch_template('magic_close'
قم بحفظ الملف بعد ذلك

الأن نقوم بالذهاب الي لوحة التحكم admincp و من ثم نقوم بإختيار خيارات الإستايلات و القوالب > التحكم بالإستايلات

ثم نقوم بالضغط على إضافة قالب جديد

نضع مكان إسم القالب أول اسم قمنا بتغيره ( أنا قمت بتغيره إلي magic_open )

ثم نضع الكود التالي في محتوى القالب
رمز PHP:
<!-- open content container -->
<if 
condition="$show['old_explorer']">
    <
table cellpadding="0" cellspacing="0" border="0" width="$stylevar[outertablewidth]align="center"><tr><td class="page" style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px">
<else />
<
div align="center">
    <
div class="page" style="width:$stylevar[outerdivwidth]; text-align:$stylevar[left]">
        <
div style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px">
</if> 
ثم اضغط حفظ

ثم نقوم بإضافة قالب جديد مره أخرى

نضع مكان إسم القالب أول اسم قمنا بتغيره ( مثلاً انا قمت بتغيره إلي magic_close )

ثم نضع الكود التالي في محتوى القالب

رمز PHP:
<if condition="$show['old_explorer']">
 </
td></tr></table>
<else />
  </
div>
 </
div>
</
div>
</if>
<!-- / 
close content container --> 
ثم اضغط حفظ

نقوم بطبيق هذا على جميع الإستايلات التي تستخدمها ..

الأن باقي عليك رفع هاك تعطيل تلغيم الإستايل و هو موجود بالمرفقات .

** إنتهينا من حماية الإستايل **

- ثغرة فلود التسجيل :-

يتم حل هذه الثغره عن طريق تفعيل صورة التحقق في التسجيل و تكون عن طريق التالي

خيارات المنتدى > خيارات تسجيل الأعضاء > التحقق من الصورة ( إختر نعم )

**إنتهينا من ثغرة فلود التسجيل **

انتهى وبالتوفيق

الملفات المرفقة
نوع الملف : zip product-protect_from_xss.zip (843 بايت, عدد مرات المشاهدة 675 مرة)
نوع الملف : zip تعطيل إستغلال تلغيم الستايل.zip (593 بايت, عدد مرات المشاهدة 732 مرة)
حمل ون, أبو سيف, mianold و 2 آخرون معجبون بهذا.
  • اعتذر عن عدم دخولي في الفتره السابقه ولكن لظروف خارجه عن ارادتي !!
أضيفت بتاريخ 31 - 03 - 2010 عند الساعة : 17:20
رقم المشاركة # 2
.:: عضو متألق ::.
صورة 'احمد الجرفان' الرمزية
تاريخ الإنضمام: 15 - 10 - 2009
رقم العضوية : 73197
العمر: 20
المشاركات: 12,355
قوة السمعة : 2804
افتراضي

:

رائئع ماشاءالله ,, كفيت و وفيت :$ ~
:
يعطيك العافيه يالغلا ~

دلع قايز سابقا*

سبحان الله وبحمده .. سبحان الله العظيم
♡'

# انا هنا - \\ انستقرام : ahmad_g94
أضيفت بتاريخ 31 - 03 - 2010 عند الساعة : 23:46
رقم المشاركة # 3
:: عضو نشيط ::
صورة 'دمعة عمر' الرمزية
تاريخ الإنضمام: 08 - 03 - 2007
رقم العضوية : 32993
الإقامة: السعودية
المشاركات: 2,073
قوة السمعة : 117
أرسل رسالة بواسطة MSN إلى دمعة عمر أرسل رسالة بواسطة Skype™ إلى دمعة عمر
افتراضي

الف شكر لك
تم العمل

www.d-3amr.com/vb

شبكة دمعة عمر النسائية
اول موقع رومانسي على الانترنت

الموقع - www.d-3amr.com
المنتديات - www.d-3amr.com/vb
المدونة- www.d-3amr.com/blog
مكتبة الالعاب - www.d-3amr.com/games
ترجمة النصوص- www.d-3amr.com/tarjm
دليل المواقع- www.d-3amr.com/links

WwW.D-3AMR.CoM
سبحان الله وبحمده ... سبحان الله العظيم
أضيفت بتاريخ 01 - 04 - 2010 عند الساعة : 00:01
رقم المشاركة # 4
:: عضو نشيط ::
تاريخ الإنضمام: 15 - 01 - 2006
رقم العضوية : 16430
المشاركات: 5,119
قوة السمعة : 4120
افتراضي


الله يـعـطـيـك الـعـافيـــــــــــة
بيض الله وجهك

أضيفت بتاريخ 01 - 04 - 2010 عند الساعة : 00:10
رقم المشاركة # 5
.:: عضو متألق ::.
صورة 'R a K a n' الرمزية
تاريخ الإنضمام: 25 - 10 - 2005
رقم العضوية : 10841
الإقامة: الرياض
المشاركات: 6,596
قوة السمعة : 1042
افتراضي

يعطيك العافيه اخوي السندباد

شرح لا بأس به ولكن ليست الحمايه الكافيه

واذا مافي حمايه بالسيرفر لاتتعب نفسك وتسوي حمايه للمنتدى

في أمان الله .. ياشعب ترايدنت وياعالم الإنترنت

skype : rakan7m
kik : r7000
أضيفت بتاريخ 01 - 04 - 2010 عند الساعة : 00:32
رقم المشاركة # 6
:: عضو نشيط ::
صورة 'شات' الرمزية
تاريخ الإنضمام: 15 - 10 - 2009
رقم العضوية : 74704
الإقامة: Ye
المشاركات: 1,941
قوة السمعة : 191
افتراضي

كفيت و وفيت

تسلم خيووو

أَلَمْ يَأْنِ لِلَّذِينَ آمَنُوا أَن تَخْشَعَ قُلُوبُهُمْ لِذِكْرِ اللَّهِ


أضيفت بتاريخ 01 - 04 - 2010 عند الساعة : 01:33
رقم المشاركة # 7
:: عضو نشيط ::
تاريخ الإنضمام: 21 - 11 - 2007
رقم العضوية : 45116
الإقامة: .
المشاركات: 317
قوة السمعة : 56
افتراضي

شكرا لك

================
هل ممكن اعرف اين هذه الثغره
مني . او ملفات المنتدى
او السيرفر

اختراق المنتدى برفع استايل على لوحة التحكم باتش وتغيير قالب الفروم هوم لجميع الاستايل
وحذف مواضيع المنتدىرقم واحد واثنين

علماً ان المنتدى محمي بنفس طريقتك رابط لوحة التحكم متغير وغير مسجل في الكونقفير
يعني رابط خاص

وين المشكله هل هي بالسيرفر

حين اموت..!
لن تكتب صحف الصباح نعى!
ولن تفتقدنى الفراغات المعلقه...
سيتبادل من كانو اصدقائى
موتى عبرsms
ويحتل رجل اخر
مكانى في الحياه
لن تبكى عليا سوى
امى..!
انتهت الحكايه
....
أضيفت بتاريخ 01 - 04 - 2010 عند الساعة : 02:14
رقم المشاركة # 8
:: عضو نشيط ::
تاريخ الإنضمام: 15 - 10 - 2009
رقم العضوية : 73834
الإقامة: الرياض
المشاركات: 769
قوة السمعة : 56
افتراضي

يعطيك العافيه شرح واضح ومميز تستاهل ++

أضيفت بتاريخ 01 - 04 - 2010 عند الساعة : 03:01
رقم المشاركة # 9
:: عضو نشيط ::
صورة 'شعار الحرية' الرمزية
تاريخ الإنضمام: 22 - 01 - 2006
رقم العضوية : 17126
الإقامة: الوطن العربي الحبيب
المشاركات: 2,622
قوة السمعة : 238
افتراضي

شكرا جزيلا

اللوٍرٍد ميدوٍ معجب بهذا.
أضيفت بتاريخ 01 - 04 - 2010 عند الساعة : 19:08
رقم المشاركة # 10
.:: عضو متألق ::.
صورة 'السندبآد' الرمزية
تاريخ الإنضمام: 16 - 07 - 2009
رقم العضوية : 67780
الإقامة: Egypt
المشاركات: 14,830
قوة السمعة : 2248
افتراضي

شكرا على مروركم

واكيد حماية السيرفر جزء اساسي لحماية المنتدى وسلامته

وبالتوفيق لكم

  • اعتذر عن عدم دخولي في الفتره السابقه ولكن لظروف خارجه عن ارادتي !!
أضيفت بتاريخ 07 - 06 - 2010 عند الساعة : 05:40
رقم المشاركة # 11
:: عضو نشيط ::
صورة 'محمد عياد' الرمزية
تاريخ الإنضمام: 24 - 01 - 2008
رقم العضوية : 50905
الإقامة: مصر
المشاركات: 391
قوة السمعة : 59
أرسل رسالة بواسطة Yahoo إلى محمد عياد
افتراضي

خالص الشكر والتقدير على هذا المجهود الكبير


████████████████
مدرستي دوت كوم
████████████████

أضيفت بتاريخ 07 - 06 - 2010 عند الساعة : 05:53
رقم المشاركة # 12
:: عضو نشيط ::
صورة 'عجزت آفهمك' الرمزية
تاريخ الإنضمام: 20 - 01 - 2010
رقم العضوية : 76461
الإقامة: الريااض
المشاركات: 889
قوة السمعة : 51
أضيفت بتاريخ 07 - 06 - 2010 عند الساعة : 06:02
رقم المشاركة # 13
.:: عضو متألق ::.
تاريخ الإنضمام: 16 - 07 - 2009
رقم العضوية : 67773
الإقامة: شام
العمر: 26
المشاركات: 5,922
قوة السمعة : 25879
افتراضي

مبدع يا بطل

تحياتي

برب
أضيفت بتاريخ 07 - 06 - 2010 عند الساعة : 08:20
رقم المشاركة # 14
:: عضو نشيط ::
تاريخ الإنضمام: 08 - 03 - 2007
رقم العضوية : 33113
الإقامة: في المملكة العربية السعودية
المشاركات: 2,357
قوة السمعة : 230
افتراضي

هل فعلا الاهداءات تم سد ثغراته

يعني هل اركبه بامان او لا

أضيفت بتاريخ 07 - 06 - 2010 عند الساعة : 08:35
رقم المشاركة # 15
:: عضو نشيط ::
صورة 'h-qlbi.com' الرمزية
تاريخ الإنضمام: 15 - 10 - 2009
رقم العضوية : 73092
الإقامة: فلسطين
المشاركات: 514
قوة السمعة : 75
افتراضي

مشكور ويعطيك الف عافية لكن التعديل في الاهدائات القديم

اضافة رد

العلامات المرجعية

أدوات الموضوع
طرق العرض

غلق/فتح (الكل) ضوابط المشاركة
لا يمكنك اضافة مواضيع جديدة
لا يمكنك اضافة مشاركات
لا يمكنك اضافة مرفقات
لا يمكنك تعديل مشاركاتك

رمز [IMG] : متاحة
رمز HTML : معطّلة
المراجع : معطّلة
Refbacks are متاحة



الساعة معتمدة بتوقيت جرينتش +3 . الساعة الآن : 05:35.
المعهد غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء
فعلى كل شخص تحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه
التعليقات المنشورة لا تعبر عن رأي معهد ترايدنت ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر)


Powered by vBulletin® Version 3.8.7 .Copyright ©2000 - 2014, Jelsoft Enterprises Ltd
SEO by vBSEO 3.6.0 ©2011, Crawlability, Inc.
Google

SEO by vBSEO 3.6.0 ©2011, Crawlability, Inc.