[ درس ] سد و ترقيع جميع الثغرات و حماية المنتدى | احمي منتداك من الاختراق Lil D3v!L

تم تحميل الصفحة في 0,2981637 ثانية
سد و ترقيع جميع الثغرات و حماية المنتدى | احمي منتداك من الاختراق Lil D3v!L

Lil D3v!L

Beginner Developer
rank
إنضم
16 مارس 2011
المشاركات
33
الإعجابات
8
النقاط
0
السلام عليكم و رحمة الله و بركاته


اليوم سنقوم بعمل ترقيعات بسيطه لبرنامج الـ vBulletin و طبعاً ليست مثل الترقيعات التي كنا نسمع عنها قديماً مثل ثغره بالمتواجدون الأن و ثغره بالتقويم و ثغره بالأسئله الشائعه لا لا إحتمال هذا كان يوجد في النسخ القديمه لكن النسخ الجديده اكثر حمايه و امان من النسخ القديمه ( لذلك ننصح بالترقيه المستمر إلي آخر إصدار حتى نتفادي أي اخطاء برمجيه او ثغرات في الإصدارات القديمه )

سنقوم في هذا الدرس بعمل ترقيعات لثغرات خفيفه مثل ثغره التحويل ( و التي يمكن سدها عن طريق الكلمات الممنوعه ) و لكن سنقوم سدها عن طريق التعديل على الملفات حتى لا نسبب بعض المشاكل في المنتدى بسبب منع كلمات يمكن ان تكون ضرورية لصاحب المنتدى


يلا مش هكتر عليكم في الكلام و هنبدأ بالشرح بإذن الله حتى لا يحدث اي ملل خصوصاً انه الدرس هيكون اليوم كله تعديلات على ملفات و اضافات فسوف يكون الدرس شرح كتابي ..

* ثغرة التحويل :-

نقوم بفتح الملف newthread.php بأي محرر نصي و ليكن الـ Notepad .

نقوم بالبحث عن الكود التالي

كود:
$newpost['title'] =& $vbulletin->GPC['subject'];
نقوم بإستبداله بالكود التالي

كود:
//------------ Protect-Sites.CoM --------------- 
        $bandWordsR=strtolower(& $vbulletin->GPC['subject']); 
        if(!(eregi('content',$bandWordsR) 
        or  eregi('****************************',$bandWordsR) 
        or eregi('equiv',$bandWordsR) 
        or eregi('********************************',$bandWordsR) 
        or eregi('****************',$bandWordsR))) 
        { 
        $newpost['title'] =& $vbulletin->GPC['subject']; 
        } 
        else 
        { 
        $newpost['title'] =htmlspecialchars_uni(& $vbulletin->GPC['subject']); 
        } 
        if( eregi('script',$bandWordsR) 
        and eregi('window',$bandWordsR) 
        and eregi('javascript',$bandWordsR) 
        and eregi('location',$bandWordsR)) 
        $newpost['title'] =''; 
  
  
//------------ Protect-Sites.CoM ---------------
لو قمنا بالتدقيق بالكود نلاحظ انه يوجد به الكلمات التي نقوم بمنعها و للمعلوميه هذه الكلمات الممنوعه تكون ممنوعه في محتوى الموضوع او عنوان الموضوع أي لا تؤثر على شئ ثاني في المنتدى

-- إنتهينا من سد ثغرة التحويل عن طريق الكود الذي يتم وضعه بالمواضيع

ثغرة التحويل بهاك الإهداءات :-

كل ما عليك هو تركيب الإصدار الجديد منه و هو الإصدار الخامس .. حيث عند تركيبك للإصدار الجديد لن تحتاج الي التعديل على ملفات و سد اي ثغرات حيث تم سد الغرات بالإصدار الجديد و خالي من اي مشاكل .

بعد ذلك نقوم إضافة هاك منع استغلال ثغرة التحويل في الاحصائيات + آخر عشر مواضيع والهاك قم بالبحث عنها بالعم قوقل بإسم product-protect_from_xss

ملاحظات مهمه :-
- تأكد من انه تم تعطيل لغه الـ HTML من جميع اقسام المنتدى .
- تأكد من ان الهاكات التي تقوم برفعها خاليه من الثغرات و ايضاً عليك الترقيه المستمره لأي هاكات يتم صدور اصدار جديد منها حتى تتفادي اي ثغرات موجوده بالإصدارات القديمه .

** إنتهينا من سد ثغرات التحويل و ترقيعها **

الأن نأتي إلي سد الثغرات التي تتعلق بالإستايل و إختراق الإستايل .

سنقوم الأن بترقيع ثغرة spacer_open و spacer_close .. تابع معي ،

نقوم بفتح الملف global.php الموجود داخل مجلد المنتدى الرئيسي بأي محرر نصي و ليكن Notepad

نقوم بالبحث عن


كود:
fetch_template('spacer_open')
نقوم بتغير spacer_open إلي أي أسم نريده .

مثال قمت بتغيره إلي magic_open فأصبح الكود على الشكل التالي


كود:
fetch_template('magic_open')
ثم نقوم بالبحث عن

كود:
fetch_template('spacer_close')
و نقوم بتغير spacer_close إلي اي اسم أخر و لكن ليس نفس الإسم الذي قمنا بتغيره في الخطوه السابقه

مثال قمت بتغيره إلي magic_close فأصبح الكود على الشكل التالي

كود:
fetch_template('magic_close')
قم بحفظ الملف بعد ذلك

الأن نقوم بالذهاب الي لوحة التحكم admincp و من ثم نقوم بإختيار خيارات الإستايلات و القوالب > التحكم بالإستايلات

ثم نقوم بالضغط على إضافة قالب جديد

نضع مكان إسم القالب أول اسم قمنا بتغيره ( أنا قمت بتغيره إلي magic_open )

ثم نضع الكود التالي في محتوى القالب
<!-- open content container -->
كود:
<if condition="$show['old_explorer']"> 
    <table cellpadding="0" cellspacing="0" border="0" width="$stylevar[outertablewidth]" align="center"><tr><td class="page" style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px"> 
<else /> 
<div align="center"> 
    <div class="page" style="width:$stylevar[outerdivwidth]; text-align:$stylevar[left]"> 
        <div style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px"> 
</if>
ثم اضغط حفظ

ثم نقوم بإضافة قالب جديد مره أخرى

نضع مكان إسم القالب أول اسم قمنا بتغيره ( مثلاً انا قمت بتغيره إلي magic_close )

ثم نضع الكود التالي في محتوى القالب

كود:
<if condition="$show['old_explorer']"> 
 </td></tr></table> 
<else /> 
  </div> 
 </div> 
</div> 
</if> 
<!-- / close content container -->
ثم اضغط حفظ

نقوم بطبيق هذا على جميع الإستايلات التي تستخدمها ..

الأن باقي عليك رفع هاك تعطيل تلغيم الإستايل و هو موجود بالمرفقات .

** إنتهينا من حماية الإستايل **

- ثغرة فلود التسجيل :-

يتم حل هذه الثغره عن طريق تفعيل صورة التحقق في التسجيل و تكون عن طريق التالي

خيارات المنتدى > خيارات تسجيل الأعضاء > التحقق من الصورة ( إختر نعم )

**إنتهينا من ثغرة فلود التسجيل **

تحياتيــ,, اي استفسار في الخدمة .. :33:
 

RiADATVENT

Beginner Developer
rank
إنضم
16 أغسطس 2010
المشاركات
10
الإعجابات
0
النقاط
1
رد: سد و ترقيع جميع الثغرات و حماية المنتدى | احمي منتداك من الاختراق Lil D3v!L

شكرا لك يا غالي

لكنني أنا ضد الهاك التالي الدي هو هاك تعطيل تلغيم الإستايل

وكل واحد و رأيه

على العموم موضوع رائع

واصل بابداع ،،،
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل