رد مع اقتباس
افتح ملف uploader.php
ابحث عن :
استبدله بـ :كود PHP:$type = explode("." ,$file_name);
ثم احفظ الملف ...كود PHP:$type = explode("." ,$file_name,2);
{ معلومات } ثغره فى الصندوق السحرى ......
قم بالذهاب الى لوحة تحكم المنتدى بعدها الى خيارات الاكواد
bbcode option
قم بمسح كود الـ FLASH
فيها ثغرة تتعلق بالكوكيز .
كذلك الحال الى كود التنسيق الشعر قم بحذفه وحذف جميع ملفاته في الفايل منجر
فهو مملوء بالثغرات..
{ ثغره + ترقيع } ثغره فى ملف Uploader.Php ......
افتح ملف uploader.php
ابحث عن :
استبدله بـ :كود PHP:$type = explode("." ,$file_name);
ثم احفظ الملف ...كود PHP:$type = explode("." ,$file_name,2);
{ معلومات } ثغرات فى الاسضافه نفسها { هام جدا } ......
هناك بعض الهاكرز يخترقون المواقع والمنتديات عن طريق CpaneL المشهور وذلك عن طريق كسر الحاجز واكدت بعض المصادر ان كسر هذا الحاجز يتطلب مهارة عالية جدا فهي شبه مستحيله ....
بعدما يخترق الجدار ويدخل لوحة التحكم يتوجه الى ملف يحتوي على ايميل الادمن او المشترك
حيث ترسل اليه البيانات والباسورد حين فقدانه له او طلب اعادة انشاءه ....
ويقوم بذلك من خلال هذه الصفحة :
مثال حي : http://www.XxXxX.XxX:2082/resetpass/?user=XxXxX
ولاغلاق هذه الصفحة عليك بالتحدث مع قسم المراقبة للموقع المستضيف SupporT TeaM عن طريق البريد او اي شيء اخر سوف يسألون عن سبب ليقوموا باغلاق الخدمه قل لهم انك تعرضت لتهديد شديد من الهاكرز.....
وسوف تصبح الصفحة غير فعاله بالنسبه للمخترق تظهر رساله تظهر رسالة This Feature Is Disabled .....
النقطة الاخرى تتعلق بدخول الاف تي بي عليك التحدث مع نفس الفريق او الدعم الفني للشركة المستضيفه لغلق خدمة دخول الضيوف الى الاف تي بي تبع موقعك لانها ايضا تشكل منفذ للهاكرز ...
{ ثغره + ترقيع } ثغره فى ملف Init.Php خطيره جدا ......
لزيادة حماية ملف Init.php قم بتطبيق الاتي قم بترقيع هذه الثغرة والتي اكتشفها شخص بريطاني
والثغره موجوده في ملف Init.php وتحديداً في سطر 542 وهي ثغرة SQL Injection
ويتم نجاح هذه الثغره إذا كانت خاصية magic_quotes_gpc معطله OFF داخل الـ PHP :
التـــرقـــيـــع :
توجد طريقتين
الأولى :
إضافة السطر التالي في ملف .htaccess
php_value magic_quotes_gpc 1
الثانيه بتعديل ملف Init.Php
قم بالبحث عن :
واستبدله بـ :كود PHP:$datastoretemp = $DB_site->query("
SELECT title, data
FROM " . TABLE_PREFIX . "datastore
WHERE title IN ('" . implode("', '", $specialtemplates) . "')
");
unset($specials, $specialtemplates);
بهذا تكون مطمن من ناحيه هذا الملف تماما ......كود PHP:if(!is_array($specialtemplates))
exit;
$specialtemplate = array();
foreach ($specialtemplates AS $arrykey => $arryval)
{
$specialtemplate[] = addslashes($specialtemplates["$arrykey"]);
}
$datastoretemp = $DB_site->query("
SELECT title, data
FROM " . TABLE_PREFIX . "datastore
WHERE title IN ('" . implode("', '", $specialtemplate) . "')
");
unset($specials, $specialtemplates, $specialtemplate);
{ ثغره + ترقيع } ثغره فى ملف Online.Php (المتواجدون الان) ......
توجد هناك ثغرة في Online.Php (المتواجدون الان ) لم يتم الحصول على ترقيع لها او تحديد لها لذلك وللاحتياط قم بالغاء عرض صفحة المتواجدون الان للاعضاء المسجلين والضيوف وغيرهم ما عدا المشرف العام الا وهو انت من هنا:
ادخل لوحة التحكم الخاصة بالمنتدى اذهب الى خيارات المجموعات :
Usergroup Manager
اضغط على المجموعة المحددة من خيار :
Who's Online Permissions
اجعل جميعها No لا
واحفظ قم بالتغيير للمجموعات المسجلة الا الادمن الا وهو انت فقط ....
مجهود رائع يا محمد
تسلم ايدك على الشغل الجميل ده
{ معلومات } معلومات هامه بعد غلق جميع الثغرات ......
صحيح فيه مجلد أسمه:
AdminCp وهذا أهم المجلدات
الطريقه :
غير أسم مجلد الأدمن AdminCp الى اي أسم ثاني أنت تعرفه علشان هو بيكون رابط الدخول الجديد للوحه ....
ارفع مجلد اخر مذيف باسم AdminCp واعمل عليه جدار نارى واكتب اليوزر اى كتابات واكثر من الاشارات بها مثل { / , ' ; ÷ × ؛ < > " : / ، ـ , . ؟ } ومفيش اى داعى انك تحفظه عادى اعمله وانساه والباسورد نفس الامر وخلى الهاكر يحاول يدخل عليه...
وبعد هذا اعمل جدار نارى على مجلد AdminCp الاصلى الذى غيرت اسمه وضع يوزر وباسورد انت تعرفهم جيدا .......
وبهذا تكون قد حميت منتداك حمايه شامله وانسى الهاكر تماما ......
الحمد لله لقد انتهيت من وضع جميع الثغرات التى استطعت الحصول عليها باذن الله اذا طبقت ما فى هذا الدرس سوف تتمتع بحمايه 99.99% وانسى ان اى هاكر يقدر يدخل منتداك ولكن لازم تتاكد من اى سكريبت تركبه على موقعك لانه لا معنى لحمايه المنتدى وترك ثغرات بمركز التحميل مثلا فيجب عليك الترقيع الشامل اول باول ........
موضوع رائع وجامد ومجهود كبير من استاذنا محمد
استفدنا كثيراً منك مميز بجد
موضوع مهم يجب قراءته تم انتقال ادارة نيوستايل الى الاخ ahmed_totta
الله يخليك اخى خالد تلميذك باذن الله سوف اضع الفهرسه بس انتهى من الموضوع السادس وابدا فيها باذن الله ...
الذين يشاهدون الموضوع الآن: 1 (0 من الأعضاء و 1 زائر)
ضوابط المشاركة
مواقع النشر (المفضلة)