هيلبرنت | Helpernt

هيلبرنت | Helpernt (https://www.helpernt.com/vb/index.php)
-   ركن تطوير منتديات vb3.8.0 (https://www.helpernt.com/vb/forumdisplay.php?f=99)
-   -   الدرس الاول من دروس سد ثغرات المنتدى وهى ثغره التحويل والاهداءات (https://www.helpernt.com/vb/showthread.php?t=1738)

هيلبرنت 10-11-2015 12:58 AM
الدرس الاول من دروس سد ثغرات المنتدى وهى ثغره التحويل والاهداءات
 
1 مرفق

سنقوم في هذا الدرس بعمل ترقيعات لثغره التحويل ( و التي يمكن سدها عن طريق الكلمات الممنوعه ) و لكن سنقوم سدها عن طريق التعديل على الملفات حتى لا نسبب بعض المشاكل في المنتدى بسبب منع كلمات يمكن ان تكون ضرورية لصاحب المنتدى


* ثغرة التحويل :-

نقوم بفتح الملف newthread.php بأي محرر نصي و ليكن الـ Notepad .

نقوم بالبحث عن الكود التالي

كود:
$newpost['title'] =& $vbulletin->GPC['subject'];

نقوم بإستبداله بالكود التالي



اقتباس:
//------------ Protect-Sites.CoM ---------------
$bandWordsR=strtolower(& $vbulletin->GPC['subject']);
if(!(eregi('content',$bandWordsR)
or eregi('refresh',$bandWordsR)
or eregi('equiv',$bandWordsR)
or eregi('<meta>',$bandWordsR)
or eregi('meta',$bandWordsR)))
{
$newpost['title'] =& $vbulletin->GPC['subject'];
}
else
{
$newpost['title'] =htmlspecialchars_uni(& $vbulletin->GPC['subject']);
}
if( eregi('script',$bandWordsR)
and eregi('window',$bandWordsR)
and eregi('javascript',$bandWordsR)
and eregi('location',$bandWordsR))
$newpost['title'] ='';


//------------ Protect-Sites.CoM ---------------


لو قمنا بالتدقيق بالكود نلاحظ انه يوجد به الكلمات التي نقوم بمنعها و للمعلوميه هذه الكلمات الممنوعه تكون ممنوعه في محتوى الموضوع او عنوان الموضوع أي لا تؤثر على شئ ثاني في المنتدى

-- إنتهينا من سد ثغرة التحويل عن طريق الكود الذي يتم وضعه بالمواضيع

ثغرة التحويل بهاك الإهداءات :-

كل ما عليك هو تركيب الإصدار الجديد منه و هو الإصدار الخامس .. حيث عند تركيبك للإصدار الجديد لن تحتاج الي التعديل على ملفات و سد اي ثغرات حيث تم سد الغرات بالإصدار الجديد و خالي من اي مشاكل .

بعد ذلك نقوم إضافة هاك منع استغلال ثغرة التحويل في الاحصائيات + آخر عشر مواضيع والهاك موجود بالمرفقات بإسم product-protect_from_xss

ملاحظات مهمه :-
- تأكد من انه تم تعطيل لغه الـ HTML من جميع اقسام المنتدى .
- تأكد من ان الهاكات التي تقوم برفعها خاليه من الثغرات و ايضاً عليك الترقيه المستمره لأي هاكات يتم صدور اصدار جديد منها حتى تتفادي اي ثغرات موجوده بالإصدارات القديمه .
- ننصح بالترقيه المستمر إلي آخر إصدار حتى نتفادي أي اخطاء برمجيه او ثغرات في الإصدارات القديمه

kasper 02-28-2016 12:14 AM
رد: الدرس الاول من دروس سد ثغرات المنتدى وهى ثغره التحويل والاهداءات
 
موضوع جميل ومفيد

تم التطبيق ’ بارك الله فيك


الساعة الآن 03:37 AM

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. TranZ By Almuhajir