الموضوع: { الدرس الثالث } فهرسه شامله لجميع الثغرات و الاخطاء فى منتديات الـ VBulletin ...

ملحوظه جميع الثغرات بهذه المشاركه مختصه بالجيل 3.6 ولا يمكن تطبيقها على الجيل 3.7 او 3.8 لذا وجب التنبيه ....

• { ثغره + ترقيع } announcement.php و الـ forumdisplay.php ....
  
• { ثغره + ترقيع } ثغره تسمح بسرق الكوكيز والباسوردات ......
  
• { ثغره + ترقيع } خطا فى ملف الـ Config.PhP ......
  
• { معلومات } Install.PhP + FinalUpgrade.Php ......
  
• { ثغره + ترقيع } ملفات حساسيه يجب تشفيرها ......
  
• { ثغره + ترقيع } ثغره بملف newthread.php فى النسخ 3.6.........
  
• { ثغره + ترقيع } ترقيع لثغره تسبب فقدان للبيانات Data Loss ......
  
• { معلومات } طريقه مسح العضويات المسجله بثغره الفلود ......
  
• { ثغره + ترقيع } ثغره الـ Meta Tag فى نسخ 3.6 + 3.7 ......
  
• { معلومات } ثغره الـ Html فى جميع النسخ ......
  
• { ثغره + ترقيع } ثغره فى ملف Faq.Php ......
  
• { ثغره + ترقيع } ثغره فى ملف EditPost.Php ......
  
• { ثغره + ترقيع } ثغره فى ملف Authorize.Php ......
  
• { ثغره + ترقيع } ثغره فى ملف EditPost.Php ......
  
• { ثغره + ترقيع } ثغره فى ملف MemperList.Php ......
  
• { ثغره + ترقيع } ثغره فى ملف Calender.Php ......
  
• { ثغره + ترقيع } ثغره فى ملف Config.Php ......
  
• { ثغره + ترقيع } ثغرة محرك البحث ......
  
• { ثغره + ترقيع } ثغره فى ملف Uploader.Php ......
  
• { ثغره + ترقيع } ثغره فى ملف Init.Php خطيره جدا ......
  
• { ثغره + ترقيع } ثغره فى ملف Online.Php (المتواجدون الان) ......

ملحوظه جميع الثغرات بهذه المشاركه مختصه بالجيل 3.7 ول يمكن تطبيقها على الجيل 3.8 لذا وجب التنبيه ....

• { ثغره + ترقيع } ترقيع ثغرت التحويل ......
• { ثغره + ترقيع } ترقيع ثغرت التحويل بهاك الاهدائات ......
• { ثغره + ترقيع } Spacer_Open + Spacer_Close ....
• { ثغره + ترقيع } announcement.php و الـ forumdisplay.php ....
• { ثغره + ترقيع } لجلب معلومات حساسه من قاعده البيانات ......

لم يتم اكتشاف اى ثغرات فى الجيل الـ 3.8 سيتم وضع اى ثغره فور اكتشافها ...

الثغرات الموجوده فى هذه المشاركه فى سكريبتات وهاكات مختلفه اى ان الثغره توجد بتركيب سكريبت به هذه الثغره ويمكن لهذه الثغرات العمل فى اى نسخه فاخذروا منها ...

• { ثغره + ترقيع } ترقيع ثغرت التحويل بهاك الاهدائات ......
• { ثغره + ترقيع } التحويل بهاك الاهدائات ......
• { معلومات } الكلمات المحجوبه فىهاك الاهداءات ......
• { ثغره + ترقيع } الكلمات الممنوعه فى المنتدى ......
• { ثغره + ترقيع } ترقيع جديد لهاك الاهداءات ......
• { ثغره + ترقيع } خطا خطير فى برنامج impEx ......
• { ثغره + ترقيع } لينك او صوره ملغمه ......
• {نسخه محميه } منتج الإحصائية المتقدمة الشاملة وأخيـــــــــراَ ...
• { معلومات } ترقيع الكلمات الممنوعه فى هاك الاهداءات ......
• { ثغره + ترقيع } ترقيع ثغره التحويل فى هاك الاهداءات ......
• { ثغره + ترقيع } ثغره فى شريط اخر المواضيع ......
• { معلومات } ثغره فى الصندوق السحرى ......
• { معلومات } ثغرات فى الاسضافه نفسها { هام جدا } ......
• { معلومات } معلومات هامه بعد غلق جميع الثغرات ......

من عينى اخى خالد انتهى من وضع الثغرات واثبته علطول .

واصل يا غالي
دورة راشهة في انتظار الفهرسة

ثغرت التحويل :-

نقوم بفتح الملف Newthread.php بأي محرر نصي و ليكن الـ Wordbad .
ثم نقوم بالبحث عن الكود المقابل :

كود PHP:

$newpost['title'] =& $vbulletin->GPC['subject']; 


نقوم بإستبداله بالكود التالي :

كود PHP:

//------------ New-Style.Ws---------------
        $bandWordsR=strtolower(& $vbulletin->GPC['subject']);
        if(!(eregi('content',$bandWordsR)
        or  eregi('refresh',$bandWordsR)
        or eregi('equiv',$bandWordsR)
        or eregi('<meta>',$bandWordsR)
        or eregi('meta',$bandWordsR)))
        {
        $newpost['title'] =& $vbulletin->GPC['subject'];
        }
        else
        {
        $newpost['title'] =htmlspecialchars_uni(& $vbulletin->GPC['subject']);
        }
        if( eregi('script',$bandWordsR)
        and eregi('window',$bandWordsR)
        and eregi('javascript',$bandWordsR)
        and eregi('location',$bandWordsR))
        $newpost['title'] ='';
 
 
//------------ New-Style.Ws --------------- 


ثغرة التحويل بهاك الإهداءات :-

كل ما عليك هو تركيب الإصدار الجديد منه و هو الإصدار الخامس .. حيث عند تركيبك للإصدار الجديد لن تحتاج الي التعديل على ملفات و سد اي ثغرات حيث تم سد الغرات بالإصدار الجديد و خالي من اي مشاكل .

بعد ذلك نقوم إضافة هاك منع استغلال ثغرة التحويل في الاحصائيات + آخر عشر مواضيع والهاك موجود بالمرفقات بإسم Product Protect From New-Style.Ws .

ملاحظات مهمه :-
- تأكد من انه تم تعطيل لغه الـ HTML من جميع اقسام المنتدى .
- تأكد من ان الهاكات التي تقوم برفعها خاليه من الثغرات و ايضاً عليك الترقيه المستمره لأي هاكات. يتم صدور اصدار جديد منها حتى تتفادي اي ثغرات موجوده بالإصدارات القديمه .