السلام عليكم و رحمة الله و بركاته
اليوم سنقوم بعمل ترقيعات بسيطه لبرنامج الـ vBulletin و طبعاً ليست مثل الترقيعات التي كنا نسمع عنها قديماً مثل ثغره بالمتواجدون الأن و ثغره بالتقويم و ثغره بالأسئله الشائعه لا لا إحتمال هذا كان يوجد في النسخ القديمه لكن النسخ الجديده اكثر حمايه و امان من النسخ القديمه ( لذلك ننصح بالترقيه المستمر إلي آخر إصدار حتى نتفادي أي اخطاء برمجيه او ثغرات في الإصدارات القديمه )
سنقوم في هذا الدرس بعمل ترقيعات لثغرات خفيفه مثل ثغره التحويل ( و التي يمكن سدها عن طريق الكلمات الممنوعه ) و لكن سنقوم سدها عن طريق التعديل على الملفات حتى لا نسبب بعض المشاكل في المنتدى بسبب منع كلمات يمكن ان تكون ضرورية لصاحب المنتدى
* ثغرة التحويل :-
نقوم بفتح الملف newthread.php بأي محرر نصي و ليكن الـ Notepad .
نقوم بالبحث عن الكود التالي
كود PHP
$newpost['title']
=& $vbulletin->GPC['subject'];
نقوم بإستبداله بالكود التالي
كود PHP
//------------ adm-sat.CoM ---------------
$bandWordsR=strtolower(& $vbulletin->GPC['subject']);
if(!(eregi('content',$bandWordsR)
or eregi('refresh',$bandWordsR)
or eregi('equiv',$bandWordsR)
or eregi('<meta>',$bandWordsR)
or eregi('meta',$bandWordsR)))
{
$newpost['title'] =& $vbulletin->GPC['subject'];
}
else
{
$newpost['title'] =htmlspecialchars_uni(& $vbulletin->GPC['subject']);
}
if( eregi('script',$bandWordsR)
and eregi('window',$bandWordsR)
and eregi('javascript',$bandWordsR)
and eregi('location',$bandWordsR))
$newpost['title'] ='';
//------------ adm-sat.CoM ---------------
لو قمنا بالتدقيق بالكود نلاحظ انه يوجد به الكلمات التي نقوم بمنعها و للمعلوميه هذه الكلمات الممنوعه تكون ممنوعه في محتوى الموضوع او عنوان الموضوع أي لا تؤثر على شئ ثاني في المنتدى
-- إنتهينا من سد ثغرة التحويل عن طريق الكود الذي يتم وضعه بالمواضيع
ثغرة التحويل بهاك الإهداءات :-
كل ما عليك هو تركيب الإصدار الجديد منه و هو الإصدار الخامس .. حيث عند تركيبك للإصدار الجديد لن تحتاج الي التعديل على ملفات و سد اي ثغرات حيث تم سد الغرات بالإصدار الجديد و خالي من اي مشاكل .
بعد ذلك نقوم إضافة هاك منع استغلال ثغرة التحويل في الاحصائيات + آخر عشر مواضيع والهاك موجود بالمرفقات بإسم product-protect_from_xss
ملاحظات مهمه :-
- تأكد من انه تم تعطيل لغه الـ HTML من جميع اقسام المنتدى .
- تأكد من ان الهاكات التي تقوم برفعها خاليه من الثغرات و ايضاً عليك الترقيه المستمره لأي هاكات يتم صدور اصدار جديد منها حتى تتفادي اي ثغرات موجوده بالإصدارات القديمه .
** إنتهينا من سد ثغرات التحويل و ترقيعها **
الأن نأتي إلي سد الثغرات التي تتعلق بالإستايل و إختراق الإستايل .
سنقوم الأن بترقيع ثغرة spacer_open و spacer_close .. تابع معي ،
نقوم بطبيق هذا على جميع الإستايلات التي تستخدمها ..
الأن باقي عليك رفع هاك تعطيل تلغيم الإستايل و هو موجود بالمرفقات .
** إنتهينا من حماية الإستايل **
- ثغرة فلود التسجيل :-
يتم حل هذه الثغره عن طريق تفعيل صورة التحقق في التسجيل و تكون عن طريق التالي
خيارات المنتدى > خيارات تسجيل الأعضاء > التحقق من الصورة ( إختر نعم )
**إنتهينا من ثغرة فلود التسجيل **
انتهى وبالتوفيق
ساعد في النشر والارتقاء بنا عبر مشاركة رأيك في الفيس بوك
المواضيع المتشابهه:
تحميل لعبة صب واى 2014 للكمبيوتر والاندرويد برابط مباشر Download Subway Surfers لعبة صب واى او حرامى الذهب صب واى سيرفر باريس لندن لعبة...
تحميل برنامج الفوتوشوب 2014 عربى Download adobe Photoshop cs6 تحميل برنامج الفوتوشوب 2014 عربى Download adobe Photoshop cs6 برنا...
تحميل برنامج قصص الانبياء على الاندرويد برامج اندرويد 2014 برامج اندرويد جديدة 2014 ومن اهم التطبيقات برنامج قصص الانبياء تطبيق قص...
تحميل برنامج تسريع جهاز الاندرويد Clean Droid APK لتنظيف وتحسين أداء الجهاز تطبيق clean droid هو برنامج مجاني للاجهزة التى تعمل بنظ...
تحميل برنامج فايبر للاندرويد 2014 الفايبر لجميع الاجهزة Download Viper computer برنامج الفايبر هو من البرامج التى تستخدم للاتصال المجا...
0 التعليقات:
إرسال تعليق