مـنـتـديـات إسـتـضـافـة أحـبـاب الـمـغـرب.كـووم
اسم العضوكلمة المرور
التسجيل
   
 


-> منتديات ال VB

2010/11/15 14:4 أشهر ثغرات منتديات Vb وطريقة إغلاقها


hp 2010
المشاركات: 387
المواقع:
السلام عليكم

سنتحدث في هذا الموضوع عن أهم ثغرات منتديات VB


في البداية

ثغرة العشر مواضيع

قم بفتح الملف الخاص بشريط أخر عشر مواضيع وابحث عن الدالة $fsel واحذفها

وأيضاً إغلاق التقويم وقائمة الأعضاء



ثغرة الرسائل الخاصة وطريقة اغلاقها

ثغرة الرسائل الخاصة للأسف الشركه لم تغلقها حتى اخر اصدار وهي ثغره من نوع Cross Site Scripting ويرمز لها XSS او CSS وخطورة هذا النوع من الثغرات تتم اذا أُرسل رابط للمشرف العام يقوم هذا الرابط بتحويله للصفحه المصابه وعن طريقها يتم سرقة الكوكيز الموجوده بجهاز المشرف العام وارسالها الى موقع اخر .
حينها ياخذ المخترق هذه الكوكيز ويضعها بدل الكوكيز الخاصه به ويدخل المنتدى باسم المشرف العام !!!
كما تلاحظون استثمارها من قبل الهكر صعب جداً .

لاغلاق الثغرة

1- افتح ملف private.php الموجود ضمن مجلد منتداك الرئيسي

2- ابحث عن الاسطر التاليه :

// trim the **** fields
$pm<'title'> = trim($pm<'title'>);
$pm<'message'> = trim($pm<'message'>);



3 - استبدلها بما يلي

ط
// trim the **** fields
$pm<'title'> = trim(xss_clean($pm<'title'>));
$pm<'recipients'> = trim(xss_clean($pm<'recipients'>));
$pm<'message'> = trim($pm<'message'>);


4 - ابحث عن السطر

$pm<'title'> = trim($pm<'title'>);

5 - استبدله بــ

$pm<'title'> = trim(xss_clean($pm<'title'>));


6- قم بحفظ الملف و رفعه الى منتداك

انتهى

منقول للفائدة :p


   
 
الإدارة
استضافة المغرب.كووم © ربيع الأول 1431 ©