معهد ديالى التطويري
شرح حماية منتداك من بعض الثغرات المهمة جدا 7311
عزيزي الزائر / عزيزتي الزائرة
يرجي التكرم بتسجيل الدخول إذا كنت عضو معنا
 أو التسجيل إن لم تكن عضو وترغب في الانضمام 
إلى أسرة المنتدى  سنتشرف بتسجيلك شكرا شرح حماية منتداك من بعض الثغرات المهمة جدا A10310 إدارة المنتدى شرح حماية منتداك من بعض الثغرات المهمة جدا A10310
معهد ديالى التطويري
شرح حماية منتداك من بعض الثغرات المهمة جدا 7311
عزيزي الزائر / عزيزتي الزائرة
يرجي التكرم بتسجيل الدخول إذا كنت عضو معنا
 أو التسجيل إن لم تكن عضو وترغب في الانضمام 
إلى أسرة المنتدى  سنتشرف بتسجيلك شكرا شرح حماية منتداك من بعض الثغرات المهمة جدا A10310 إدارة المنتدى شرح حماية منتداك من بعض الثغرات المهمة جدا A10310

معهد ديالى التطويري

خدمات تطوير المواقع والمنتديات "هاكات , أكواد , سكربتات , تصاميم , مونتاج , دعم فني وخدمات أخرى" 
 
الرئيسيةالرئيسية  أحدث الصورأحدث الصور  التسجيلالتسجيل  دخولدخول  
جديد معهد ديالى التطويري / تابعنا على الفيس بوك من هنا
تابعنا على قناة التليجرام من هنا

شاطر

شرح حماية منتداك من بعض الثغرات المهمة جدا

استعرض الموضوع التالي استعرض الموضوع السابق اذهب الى الأسفل
+2
سحر انثى
عاشق العراق
6 مشترك
كاتب الموضوعرسالة
عاشق العراق
عاشق العراق


كاتب vib

كاتب vib
معلومات اضافية
تاريخ التسجيل : 22/05/2010
عدد المساهمات : 522
جنسيتي : عراقي
الجنس : ذكر
البلد : العراق
نقاط النشاط : 260854

شرح حماية منتداك من بعض الثغرات المهمة جدا Empty
http://www.tebtahlna.com/vb/index.php
مُساهمةموضوع: شرح حماية منتداك من بعض الثغرات المهمة جدا شرح حماية منتداك من بعض الثغرات المهمة جدا 560الإثنين مايو 23, 2011 1:20 pm

بسم الله الرحمن الرحيم


الهاكرز غالبا يخترقون المنتديات عن طريق المجلدات الرئيسية بالمنتدى مثل

admincp او modcp او install او includes

نعم فعلا يدخلونها بكل سهولة ولا جدار ناري ! فكيف نضع جدار ناري في وجوههم تمنعهم من دخول المجلدات هذه
اليكم الطريقة :

ادخل الى لوحة التحكم بالموقع ، CPanel
اضغط على
Password Protected Directories
ادخل مجلد المنتدى وغالبا يكون VB
سترى الان محتويات المجلد
الان قم بالضغط على المجلد الاتي
admincp
ستظهر لك هذه الرسالة بالصفحة
Folder requires a password to access via [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
اشر عليها بعلامة صح او غيرها
Protected Resource Name
في هذه الخانة اكتب PRIVATE
بالاسفل قم باضافة الاشخاص الذين لهم حق الدخول باعطائهم اسماء مخصصة وباسوردات
واضغط add user
بعد الانتهاء
اضعط على save


راح تلاحظ ظهور علامة قفل بالقرب من المجلد
كرر نفس العملية للمجلدات التالية
modcp و install و includes


2- فالنفترض بأن الهاكر كان ماهرا واخترق الجدار الناري ( شبه مستحيل ) اليك الحماية الاخرى
من برنامج الاف تي بي او لوحة تحكم الموقع ادخل على
File Manager
بعدها قم بالضعط على المجلد
admincp
اختر rename this folder


غير اسمه من admincp الى اي شيء آخر


مثال ABCDadmincp
كذلك الحال الى المجلد modcp

الان والمهم بعد التغيير مباشرة وبشكل سريع

افتح ملف config.php
الموجود تحت مجلدinclude
قم بتعديل اسماء المجلدات كالتالى

كود PHP:

$admincpdir = 'admincp';


(قم بتغير اسم المجلد الى الذي اخترته بعد اشارة =)

كود PHP:

$modcpdir = 'modcp';


(قم بتغير اسم المجلد)

قم بتغيير اسم مجلد admincp للاسم الذى كتبته بملف الكونفيج
الان ارفع ملف الكونفيج من جديد


3- ثغرة الـ HTML
اذهب الى لوحة تحكم المنتدى بعدها الى خيارات المنتدى
VB OPTIONS
بعدها الى User Profile Options
خيارات هوية العضو
السماح بأكواد الـ HTML في التواقيع
لا

خيارات المنتدى
خيارات الرسائل الخاصة
السماح بأكواد الـ HTML في الرسائل الخاصة

خيارات المنتدى
خيارات ملاحظات العضو

السماح بـ HTML في ملاحظات الأعضاء

4- ثغرة شريط اخر المواضيع :
افتح ملف last10.php
وببعض الهاكات الاخرى ملف ttlast.php
ابحث عن


كود PHP:


$fsel


$ftitle


فقط قم بحذفهم من الملف
وارفعه لمجلد منتداك



5-ثغرة ملف التعليمات faq.php
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى

طريقة سد الثغرة
فتح ملف faq.php وقم بالبحث عن الأسطر التاليه


كود PHP:

// initialize some template bits



$faqbits = '';


$faqlinks = '';


أضف بعدها مباشرة




كود PHP:

$navbits[''] =$vbphrase['faq'];



احفظ الملف وارفعه لمجلد منتداك


6-ثغرة ملف editpost.php

هي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث

طريقة سد الثغرة

قم بفتح ملف editpost.php وابحث عن السطر التالي

كود PHP:

$edit['title'] = trim($_POST['title']);استبدله بهذا السطر


كود PHP:

$edit['title'] = trim(xss_clean($_POST['title']));

احفظ الملف وارفعه لمجلد منتداك

7-ثغرة ملف authorize.php
وهي ثغره من نوع SQL Injection

هو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
(قم بحذف الملف نهائيا )


8-ثغرة في ملف editpost.php


إفتح الملف وفي أوله بعد
أضف الكود التالي


كود PHP:

$title = addslashes($title);


if (strstr($title,"script") != NULL){


echo "hello.. are you hacking us?
vBulletin
note: use scr!pt"
;


exit;


9-قم بفتح الملف memberlist.php في مجلد المنتدى vb

وامسح جميع محتوياته وضع الكود التالي

كود PHP:

<**** http-equiv="*******-Language" *******="en-us">


<p>sorry member page is not available at the momentp>

واحفظ الملف

10- قم بفتح ملف calendar.php
وامسح جميع محتوياته وضع الكود التالي

كود PHP:



<**** http-equiv="*******-Language" *******="en-us">


<p>sorry calendar page is not available at the momentp>


واحفظ الملف

11- افتح ملف الكونفيق الي في منتداك config.php في مجلد includes


كود PHP:

// Prefix that all vBulletin ******s will have




// For example


$******prefix = 'bb';


غير الحرف bb


الى اي حروف تبيها بعيدا عن التخمين المهم غير bb
واحفظ الملف


12- ثغرة محرك البحث
استبدل الملف التالي
vb/includes/functions_search.php
بالملف المرفق باسم (functions_search.php)


13- ثغرة الصندوق السحري
قم بالذهاب الى لوحة تحكم المنتدى بعدها الى خيارات الاكواد
bbcode option
قم بمسح كود الـ FLASH
فيها ثغرة تتعلق بالكوكيز

كذلك الحال الى كود التنسيق الشعر قم بحذفه وحذف جميع ملفاته في الفايل منجر
فهو مملوء بالثغرات


14- حل ثغرة مركز التحميل
افتح ملف uploader.php
ابحث عن :


كود PHP:

$type = explode("." ,$file_name);


استبدله بـ :


كود PHP:

$type = explode("." ,$file_name,2);


احفظ الملف

15-اذهب الى مجلد includes
قم باعادة تحميل ملف init.php
ملاحظة : الملف مرفق بالموضوع

للاهمية عدد الثغرات اكثر من 15 ثغرة لكن مسح بعض الملفات قلصت العدد وهذا ما ننصح به!

سوف يتم التحديث حين ظهور اي ثغرة جديدة بمنتديات الـ vb


لتحميل الملفات السابقة :
من المرفقات بنهاية الموضوع

القسم الثاني :



المعلومات الاضافية:

- هناك بعض الهاكرز والكراكرز يخترقون المواقع والمنتديات عن طريق CPANEL المشهور
وذلك عن طريق كسر الحاجز واكدت بعض المصادر ان كسر هذا الحاجز يتطلب مهارة عالية جدا
فهي شبه مستحيله

بعدما يخترق الجدار ويدخل لوحة التحكم يتوجه الى ملف يحتوي على ايميل الادمن او المشترك
حيث ترسل اليه البيانات والباسورد حين فقدانه له او طلب اعادة انشاءه

ويقوم بذلك من خلال هذه الصفحة :
مثال هي : [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]

ولاغلاق هذه الصفحة عليك بالتحدث مع قسم المراقبة للموقع الهوست
support team


عن طريق البريد او اي شيء اخر سوف يسألون عن سبب ليقوموا باغلاق الخدمه قل لهم انك تعرضت لتهديد شديد
من الهاكرز

وسوف تصبح الصفحة كما يلي :
مثال هي : [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
تظهر رسالة This feature is disabled
------------------------------------

النقطة الاخرى تتعلق بدخول الاف تي بي
عليك التحدث مع نفس الفريق او الدعم الفني للشركة الهوست
لغلق خدمة دخول الضيوف الى الاف تي بي تبع موقعك
مثال هي لاف تبي بي مفتوح امام الزوار ( Anonymous )

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]

مثال هي لاف تي بي مغلق امام الزوار
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]

القسم الثالث:

لزيادة حماية ملف Init.php
قم بتطبيق الاتي
لزيادة حماية الملف المرفق init.php
قم بترقيع هذه الثغرة والتي اكتشفها شخص بريطاني



والثغره موجوده في ملف init.php وتحديداً في سطر 542 وهي ثغرة SQL Injection

ويتم نجاح هذه الثغره إذا كانت خاصية magic_quotes_gpc معطله OFF داخل الـ PHP .


التـــرقـــيـــع :


توجد طريقتين

الأولى :

إضافة السطر التالي في ملف .htaccess

php_value magic_quotes_gpc 1

الثاني/ بتعديل ملف init.php .

قم بالبحث عن

كود PHP:

$datastoretemp = $DB_site->query("


SELECT title, data


FROM " . TABLE_PREFIX . "datastore


WHERE title IN ('" . implode("', '", $specialtemplates) . "')


");

unset($specials, $specialtemplates);

واستبداله بالتالي

كود PHP:

if(!is_array($specialtemplates))


exit;


$specialtemplate = array();


foreach ($specialtemplates AS $arrykey => $arryval)


{

$specialtemplate[] = addslashes($specialtemplates["$arrykey"]);

}


$datastoretemp = $DB_site->query("


SELECT title, data


FROM " . TABLE_PREFIX . "datastore


WHERE title IN ('" . implode("', '", $specialtemplate) . "')


");


unset($specials, $specialtemplates, $specialtemplate);


القسم الرابع:

توجد هناك ثغرة في online.php
(المتواجدون الان ) لم يتم الحصول على ترقيع لها او تحديد لها

لذلك وللاحتياط قم بالغاء عرض صفحة المتواجدون الان للاعضاء المسجلين والضيوف وغيرهم
ما عدا المشرف العام الا وهو انت من هنا:


ادخل لوحة التحكم الخاصة بالمنتدى
اذهب الى خيارات المجموعات
Usergroup Manager

اضغط على المجموعة المحددة
من خيار
Who's Online Permissions
اجعل جميعها NO لا

واحفظ قم بالتغيير للمجموعات المسجلة الا الادمن الا وهو انت فقط

وكل هذه المعلومات لديكم ستكون اساسية للخبرة مش اكثر لحماية المنتديات من وجود ثغرات .

ولكن كلنا نعرف ان لغات البرمجة جميعها يوجد بها ثغرات فنحن نساعد انفسنا على وقفها وسدها .

هذا الدرس لقد تم تجميعه من منتديات كثيرة حتى اجمع لكم درس كامل للخبرة الجماعية ولكم افضل التحية ألــوان.


منقوول لاحلى اعضاء
شرح حماية منتداك من بعض الثغرات المهمة جدا 85883


عدل سابقا من قبل علاء ألعراقي ألجريح في الأحد يوليو 17, 2011 9:52 pm عدل 3 مرات (السبب : ترتيب)
الرجوع الى أعلى الصفحة اذهب الى الأسفل
سحر انثى
سحر انثى


عضو برونزي

عضو برونزي
معلومات اضافية
تاريخ التسجيل : 02/10/2010
عدد المساهمات : 227
جنسيتي : سعودي
الجنس : انثى
البلد : السعودية
نقاط النشاط : 252132

شرح حماية منتداك من بعض الثغرات المهمة جدا Empty
http://gr7alby.forumarabia.com/
مُساهمةموضوع: رد: شرح حماية منتداك من بعض الثغرات المهمة جدا شرح حماية منتداك من بعض الثغرات المهمة جدا 560الإثنين مايو 23, 2011 4:09 pm


طرح رائع

يعطيك العافية

thanks
الرجوع الى أعلى الصفحة اذهب الى الأسفل
صقر ديالى
صقر ديالى


مشرف تقني

مشرف تقني
معلومات اضافية
تاريخ التسجيل : 17/07/2010
عدد المساهمات : 315
جنسيتي : عراقي
الجنس : ذكر
البلد : العراق
نقاط النشاط : 316063

شرح حماية منتداك من بعض الثغرات المهمة جدا Empty
https://diyalaa.yoo7.com/
مُساهمةموضوع: رد: شرح حماية منتداك من بعض الثغرات المهمة جدا شرح حماية منتداك من بعض الثغرات المهمة جدا 560الإثنين مايو 23, 2011 8:47 pm

مشكووووووووووور


شرح حماية منتداك من بعض الثغرات المهمة جدا 651_co10
لطلبات الاشراف من [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] ♦♦ الاتصال بمدير الموقع [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
الرجوع الى أعلى الصفحة اذهب الى الأسفل
سهر الليالي
سهر الليالي


الاقسام الاكاديمية

الاقسام الاكاديمية
معلومات اضافية
تاريخ التسجيل : 24/02/2010
عدد المساهمات : 580
جنسيتي : عراقي
الجنس : انثى
البلد : العراق
نقاط النشاط : 265658

شرح حماية منتداك من بعض الثغرات المهمة جدا Empty
https://diyalaa.yoo7.com/
مُساهمةموضوع: رد: شرح حماية منتداك من بعض الثغرات المهمة جدا شرح حماية منتداك من بعض الثغرات المهمة جدا 560الإثنين مايو 23, 2011 8:50 pm

تسلم عاشق موضوع جميل ومفيد


شرح حماية منتداك من بعض الثغرات المهمة جدا 651_co10
لطلبات الاشراف من [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] ♦♦ الاتصال بمدير الموقع [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
الرجوع الى أعلى الصفحة اذهب الى الأسفل
سرمد الخميسي
سرمد الخميسي


عضو فعال

عضو فعال
معلومات اضافية
تاريخ التسجيل : 20/02/2011
عدد المساهمات : 139
جنسيتي : عراقي
الجنس : ذكر
البلد : العراق
نقاط النشاط : 244947

شرح حماية منتداك من بعض الثغرات المهمة جدا Empty
http://halo-shabab.ibda3.org/
مُساهمةموضوع: رد: شرح حماية منتداك من بعض الثغرات المهمة جدا شرح حماية منتداك من بعض الثغرات المهمة جدا 560الأحد يوليو 17, 2011 8:37 pm

شرح ولا اروع يعطيك العافيه


---- سرمد الخميسي ----
الرجوع الى أعلى الصفحة اذهب الى الأسفل
علاء حسين الربيعي
علاء حسين الربيعي


مؤسس الموقع

مؤسس الموقع
معلومات اضافية
تاريخ التسجيل : 26/01/2010
عدد المساهمات : 8269
جنسيتي : عراقي
الجنس : ذكر
البلد : العراق
نقاط النشاط : 337872

شرح حماية منتداك من بعض الثغرات المهمة جدا Empty
https://diyalaa.yoo7.com
مُساهمةموضوع: رد: شرح حماية منتداك من بعض الثغرات المهمة جدا شرح حماية منتداك من بعض الثغرات المهمة جدا 560الأحد أبريل 26, 2020 4:10 am

احسنت


شرح حماية منتداك من بعض الثغرات المهمة جدا 651_co10
لطلبات الاشراف من [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] ♦♦ الاتصال بمدير الموقع [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
الرجوع الى أعلى الصفحة اذهب الى الأسفل
شرح حماية منتداك من بعض الثغرات المهمة جدا
استعرض الموضوع التالي استعرض الموضوع السابق الرجوع الى أعلى الصفحة
صفحة 1 من اصل 1
  
مواضيع مماثلة
-
» جهاز جينج اوفر (محول كهرباء اوتوماتيكي) واجهزة حماية
» دورة حماية المطارات دورات الطيران والمطارات القاهرة شرم الشيخ دبى لندن باريس 2023
» حمايه منتداك من الاختراق
» كود التنقل الى اي قسم في منتداك
» كود تزيين اخر مساهمة على منتداك

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
معهد ديالى التطويري ::   :: دورات تعلم قيادة منتديات الـ في بي-
أعلي 10 إحصائيات
أكثر الأقسام شعبيةأفضل المواضيعافضل 10 اعضاء فى منتدىآخر المشاركات
 علاء حسين الربيعي 8269 المساهمات
 علاء الربيعي 2711 المساهمات
 خالد فكري 1686 المساهمات
 عيون المها 1469 المساهمات
 مسوقه الكترونيه 1062 المساهمات
 ماريا العراقية 1047 المساهمات
 husayn fahmi 1025 المساهمات
 حميد العامري 756 المساهمات
 Oussama.gfx 744 المساهمات
 ذكريات الامس 611 المساهمات
الموضوع  التاريخ, الوقت أرسلت بواسطة
 توقيت نشر المساهمه اليوم في 2:02 am
 توقيت نشر المساهمه اليوم في 12:22 am
 توقيت نشر المساهمه اليوم في 12:22 am
 توقيت نشر المساهمه اليوم في 12:20 am
 توقيت نشر المساهمه اليوم في 12:20 am
 توقيت نشر المساهمه اليوم في 12:19 am
 توقيت نشر المساهمه اليوم في 12:19 am
 توقيت نشر المساهمه اليوم في 12:19 am
 توقيت نشر المساهمه اليوم في 12:18 am
 توقيت نشر المساهمه اليوم في 12:18 am
 توقيت نشر المساهمه اليوم في 12:17 am
 توقيت نشر المساهمه اليوم في 12:17 am
 توقيت نشر المساهمه اليوم في 12:17 am
 توقيت نشر المساهمه اليوم في 12:17 am
 توقيت نشر المساهمه اليوم في 12:17 am
 توقيت نشر المساهمه اليوم في 12:17 am
 توقيت نشر المساهمه اليوم في 12:17 am
 توقيت نشر المساهمه اليوم في 12:16 am
 توقيت نشر المساهمه اليوم في 12:16 am
 توقيت نشر المساهمه اليوم في 12:16 am
أفضل 10 فاتحي مواضيع افضل 10 اعضاء هذا الشهرافضل 10 اعضاء هذا الاسبوع
خالد فكري 1686 المواضيع
مسوقه الكترونيه 1063 المواضيع
husayn fahmi 888 المواضيع
علاء الربيعي 590 المواضيع
مسوق اونلاين 536 المواضيع
علاء حسين الربيعي 527 المواضيع
marketing77 525 المواضيع
عيون المها 489 المواضيع
الجودة 381 المواضيع
مي سليمان 280 المواضيع
علاء حسين الربيعي 853 المساهمات
marketing77 23 المساهمات
مسوقه الكترونيه 17 المساهمات
مسوق اونلاين 12 المساهمات
grand detectors 9 المساهمات
مهند الطائي 5 المساهمات
فاضل ابراهيم التميمي 2 المساهمات
سمسمة 2 المساهمات
مسوقة المملكة 1 مُساهمة
علياء حامد 1 مُساهمة
 علاء حسين الربيعي 383 المساهمات
 marketing77 10 المساهمات
 مسوقه الكترونيه 9 المساهمات
 مسوق اونلاين 6 المساهمات
 grand detectors 4 المساهمات
 فاضل ابراهيم التميمي 2 المساهمات
 جاسر صفوان 1980 1 مُساهمة
 حلاوتي بشقاوتي 1 مُساهمة
 سمسمة 1 مُساهمة
 علياء حامد 1 مُساهمة