مـنـتـديـات إسـتـضـافـة أحـبـاب الـمـغـرب.كـووم
اسم العضوكلمة المرور
التسجيل
   
 


-> منتديات ال VB

2010/11/15 14:15 سد و ترقيع جميع الثغرات و حماية المنتدى


hp 2010
المشاركات: 387
المواقع:
السلام عليكم و رحمة الله و بركاته هى ترقيعات بسيطه لvBulletin و طبعاً ليست مثل الترقيعات التي كنا نسمع عنها قديماً مثل ثغره بالمتواجدون الأن و ثغره بالتقويم و ثغره بالأسئله الشائعه لا لا إحتمال هذا كان يوجد في النسخ القديمه لكن النسخ الجديده اكثر حمايه و امان من النسخ القديمه ( لذلك ننصح بالترقيه المستمر إلي آخر إصدار حتى نتفادي أي اخطاء برمجيه او ثغرات في الإصدارات القديمه ) سنقوم في هذا الدرس بعمل ترقيعات لثغرات خفيفه مثل ثغره التحويل ( و التي يمكن سدها عن طريق الكلمات الممنوعه ) و لكن سنقوم سدها عن طريق التعديل على الملفات حتى لا نسبب بعض المشاكل في المنتدى بسبب منع كلمات يمكن ان تكون ضرورية لصاحب المنتدى يلا مش هكتر عليكم في الكلام و هنبدأ بالشرح بإذن الله حتى لا يحدث اي ملل خصوصاً انه الدرس هيكون اليوم كله تعديلات على ملفات و اضافات فسوف يكون الدرس شرح كتابي .. * ثغرة التحويل :- نقوم بفتح الملف newthread.php بأي محرر نصي و ليكن الـ Notepad . نقوم بالبحث عن الكود التالي


$newpost<'title'> =& $vbulletin->GPC<'subject'>;


نقوم بإستبداله بالكود التالي

//------------ Protect-Sites.CoM --------------- $bandWordsR=strtolower(& $vbulletin->GPC<'subject'>); if(!(eregi('content',$bandWordsR) or eregi('*********************',$bandWordsR) or eregi('equiv',$bandWordsR) or eregi('',$bandWordsR) or eregi('meta',$bandWordsR))) { $newpost<'title'> =& $vbulletin->GPC<'subject'>; } else { $newpost<'title'> =htmlspecialchars_uni(& $vbulletin->GPC<'subject'>); } if( eregi('script',$bandWordsR) and eregi('window',$bandWordsR) and eregi('javascript',$bandWordsR) and eregi('************************',$bandWordsR)) $newpost<'title'> =''; //------------ Protect-Sites.CoM ---------------



لو قمنا بالتدقيق بالكود نلاحظ انه يوجد به الكلمات التي نقوم بمنعها و للمعلوميه هذه الكلمات الممنوعه تكون ممنوعه في محتوى الموضوع او عنوان الموضوع أي لا تؤثر على شئ ثاني في المنتدى

-- إنتهينا من سد ثغرة التحويل عن طريق الكود الذي يتم وضعه بالمواضيع

ثغرة التحويل بهاك الإهداءات :-

كل ما عليك هو تركيب الإصدار الجديد منه و هو الإصدار الخامس .. حيث عند تركيبك للإصدار الجديد لن تحتاج الي التعديل على ملفات و سد اي ثغرات حيث تم سد الغرات بالإصدار الجديد و خالي من اي مشاكل .

بعد ذلك نقوم إضافة هاك منع استغلال ثغرة التحويل في الاحصائيات + آخر عشر مواضيع والهاك موجود بالمرفقات بإسم product-protect_from_xss

ملاحظات مهمه :-
- تأكد من انه تم تعطيل لغه الـ HTML من جميع اقسام المنتدى.
- تأكد من ان الهاكات التي تقوم برفعها خاليه من الثغرات و ايضاً عليك الترقيه المستمره لأي هاكات يتم صدور اصدار جديد منها حتى تتفادي اي ثغرات موجوده بالإصدارات القديمه .



** إنتهينا من سد ثغرات التحويل و ترقيعها **

الأن نأتي إلي سد الثغرات التي تتعلق بالإستايل و إختراق الإستايل .

سنقوم الأن بترقيع ثغرة spacer_open و spacer_close .. تابع معي ،

نقوم بفتح الملف global.php الموجود داخل مجلد المنتدى الرئيسي بأي محرر نصي و ليكن Notepad


نقوم بالبحث عن

fetch_template('spacer_open')

نقوم بتغير spacer_open إلي أي أسم نريده .

مثال قمت بتغيره إلي magic_open فأصبح الكود على الشكل التالي

fetch_template('magic_open')


ثم نقوم بالبحث عن

fetch_template('spacer_close')



و نقوم بتغير spacer_close إلي اي اسم أخر و لكن ليس نفس الإسم الذي قمنا بتغيره في الخطوه السابقه

مثال قمت بتغيره إلي magic_close فأصبح الكود على الشكل التالي

fetch_template('magic_close')



قم بحفظ الملف بعد ذلك

الأن نقوم بالذهاب الي لوحة التحكم admincp و من ثم نقوم بإختيار خيارات الإستايلات و القوالب > التحكم بالإستايلات

ثم نقوم بالضغط على إضافة قالب جديد

نضع مكان إسم القالب أول اسم قمنا بتغيره ( أنا قمت بتغيره إلي magic_open )

ثم نضع الكود التالي في محتوى القالب

condition="$show<'old_explorer'>"> <table cellpadding="0" cellspacing="0" border="0" width="$stylevar" align="center"><tr><td class="page" style="padding:0px $stylevarpx 0px $stylevarpx"> <div align="center"> <div class="page" style="width:$stylevar; text-align:$stylevar"> <div style="padding:0px $stylevarpx 0px $stylevarpx">


اضغط حفظ

ثم نقوم بإضافة قالب جديد مره أخرى

نضع مكان إسم القالب أول اسم قمنا بتغيره ( مثلاً انا قمت بتغيره إلي magic_close )

ثم نضع الكود التالي في محتوى القالب


condition="$show<'old_explorer'>"> td>tr>table> div> div> div>


ثم اضغط حفظ

نقوم بطبيق هذا على جميع الإستايلات التي تستخدمها ..

الأن باقي عليك رفع هاك تعطيل تلغيم الإستايل و هو موجود بالمرفقات .

** إنتهينا من حمايه جميع الاستايلات

- ثغرة فلود التسجيل :-

يتم حل هذه الثغره عن طريق تفعيل صورة التحقق في التسجيل و تكون عن طريق التالي

خيارات المنتدى> خيارات تسجيل الأعضاء > التحقق من الصورة ( إختر نعم )

**إنتهينا من ثغرة فلود التسجيل **



انتهى وبالتوفيق



منقول


2010/11/15 14:16


hp 2010
المشاركات: 387
المواقع:
ملاحظه : هذا الشرح للنسخ 3.8..... مو للجيل الجديد


   
 
الإدارة
استضافة المغرب.كووم © ربيع الأول 1431 ©