الرئيسية
البوابة
أحدث الصور
التسجيل
دخولبحـث
سحابة الكلمات الدلالية
المواضيع الأخيرة
مايو 2024
| الأحد | الإثنين | الثلاثاء | الأربعاء | الخميس | الجمعة | السبت |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
دردشة الهاكرز
الدردشة|منتديات اشباح الهكر |
|
|
طرق حماية المنتديات من اختراق
صفحة 1 من اصل 1
طرق حماية المنتديات من اختراق
من طرف Admin الأحد نوفمبر 22, 2015 1:06 pm
طرق حماية المنتديات من الإختراق
بسم الله الرحمن الرحيم
السلام عليكم وحمة الله وبركاته،،،
اتمنى الموضوع يفيدكم في شي ولو بقليل ، علمي انا صاحب المنتدى خبير في معظم الامور ( ما شاء الله عليه)، بس حبيت للفائده له وللغير
* كلمات المرور :
أسهل طريق أمام المخترق هو تجربة كلمات مرور عدة حتى يصل لهدفه ... أو قد يقوم صاحب المنتدى بنشر كلمة مروره عن طيبة قلب لشخص أو لآخر .....
يجب الحذر كثيراً من هذه النقطة .... حاول تغيير كلمة مرورك بشكل دوري و لا تحفظها في أي مكان على جهازك (إذا خشيت من نسيان الكلمة فعليك بحفظها على ورقة خارجية) . كذلك لا تحفظها في المتصفح فقد يكون الوصول إليها سهلاً لو نجح المخترق في اختراق جهازك الشخصي .
*لا تستخدم اسم الـ Admin في مشاركاتك في المنتدى ...:
يفضل أن تنشأ اسماً خاصاً تدخل به على لوحة التحكم و اسماً آخراً تشارك به في المنتدى و السبب أن لا يكون اسم الأدمن معروفاً للجميع و في ذلك بعض الخطورة .
*تغيير خصائص الأدمن :
نعلم جميعاً أن المنتديات تعطي صلاحية للأعضاء المنتمين للعضوية Adminstration
و أغلب الثغرات التي يحاول المخترقون ايجادها تكون بإعطاء صلاحية أدمن لنفسه ....
إذن .... الحل الأكيد لمنع مثل هذه المحاولات هو تغيير خصائص الأدمن من لوحة التحكم الخاصة بمنتداك ..... كل ما عليك هو أن تغيير خصائص الأدمن ليصبح مثله مثل أي عضو آخر (لا يستطيع تعديل المواضيع - لا يستطيع دخول لوحة التحكم - لا يستطيع رؤية الساحات الخاصة) ..... عندها تستطيع أن تنام و أنت مرتاح البال ....
*تحديث المنتدى بشكل دوري :
احرص على الحصول على آخر نسخة من منتداك لأنها غالباً ما تكون خالية من ثغرات النسخ القديمة ..... و لا بأس من التروي قليلاً للتأكد من خلو النسخة الجديدة من الثغرات أيضاً ...
*متابعة الموقع الرسمي للمنتدى :
احرص على زيارة الصفحة الرئيسية للشركة المنتجة للاطلاع على آخر الثغرات و رقع هذه الثغرات .
*عمل باك آب بشكل دائم للمنتدى :
من البديهي أن هذه النقطة هي نقطة مهمة جداً .... لأنك على أسوأ الأحوال ستتمكن من العودة إلى آخر نقطة عملت باك آب عندها ...
ماهو الموعد المناسب لعمل باك آب ؟
هذا يعتمد على حجم منتداك ..... فقد تحتاج لعمل باك آب بشكل اسبوعي أو حتى يومي إذا كان المنتدى ضخماً ...
*اجعل كلمات المرور غير ظاهرة في لوحة التحكم :
مثلاً في منتديات الـ VB هناك خاصية تسمح لك بإخفاء كلمات المرور في لوحة التحكم و ذلك من خلال ملف Config الخاص بمنتداك ... (كل ما عليك هو تغيير أحد القيم من 1 إلى 0) .
*ماذا يحدث غالباً عند اختراق المنتدى ؟
غالباً فإن المخترق يتمكن من اختراق المنتدى باستخدام ثغرة تنشر على الشبكة أو يكتشفها بنفسه ....
لذلك فلا تقلق على موقعك الأصلي (إن كان الموقع يحتوي على أقسام أخرى غير المنتدى) .... لأن المخترق لم يتمكن من اختراق الموقع نفسه كل ما فعله هو التمكن من الدخول على لوحة التحكم بإعطاء نفسه صلاحيات المشرف .
هنا قد يغير المخترق صفحة البداية من المنتديات ..... و هو أقل شيء يفعله ليخبر الجميع بعملية الاختراق ...
بالطبع ستساء كثيراً إذا دخلت يوماً على منتداك و فوجئت بأن صفحة البداية مختلفة !!
ماذا تفعل حينها ؟
إذا كنت تريد نصيحتي فإن هناك طريقة قد لا ترضي الجميع و لكنها بالنسبة لي أفضل مليون مرة من الصفحة التي يضعها المخترق !
كل ما عليك هو أن تدخل على ملفات موقعك من خلال أي برنامج FTP و قم بتغيير البيرمشنز الخاصة بمجلد المنتدى ليتجعل الوصول إليه محجوباً عن الجميع ...
عندها ستظهر رسالة 403 fORBIDEN
إذا كان لا يعجبك شكلها فيمكنك استخدام صفحات الخطأ البديلة إذا كان المستضيف يعطيك هذه الخاصية .
* هل منتداك آمن عند هذه النقطة ؟
لا نستطيع أن نجزم بذلك للأسف ...... لكن نستطيع أن نقول أنه لم يتبقى طرق أخرى معروفه أمام المخترق سوى محاولة اختراق السرفر نفسه و هي عملية أصعب قليلاً من عملية اختراق منتدى ....
و لحماية سيرفرك اتبع التالي :
* عليك أن تحرص استضافة موقعك لدى شركة معروفة و مضمونة ببرامجها الآمنة و المتجددة دائماً ...
* كما أرجو ألا تهمل كلمة مرورك بأي حال من الأحوال .
*احرص على استخدام صفحات الخطأ البديلة لأنها تمنع المخترق من معرفة نوع السيرفر الذي يعمل عليه موقعك .
*احرص على استخدام برامج آمنة في موقعك
أولاً الحماية :
بعد ماتركب منتدى جديد أو تحدث إصدار منتداك
تعمل الأتي :
تحذف مجلد install
تضع حماية على المجلدات التالية :-
admincp
modcp
includes
وحماية المجلدات تتم عن طريقتين :
الأولى : عن طريق لوحة تحكم موقعك وهي معروفة للجميع
الثانية : عن طريق رفع ملف مخصص لإضافة حماية على أي مجلد تريد
وراح أشرح الأن حماية المجلدات عن طريق الملف :
أولاً حمل الملف فى المرفقات
وضعه في مجلد admincp
وأعط الملف save.php الترخيص 755
وأعط مجلد admincp الترخيص 777
إذهب إلى المتصفح وضع فيه الرابط هذا
www.________.com/vb/admincp/save.php
حيث أن ________إسم موقعك
وsave.php إسم الملف
وإضغط إنتقال أو إنتر راح يطلب منك إسم مستخدم وكلمة مرور
أكتب المطلوب وبعدها إضغط على كلمة إحم المجلد
وأخيراً إحذف المجلد save.php
وبكذا تكون حميت مجلد admincp
وهكذا تعمل بباقي المجلدات :
modcp
www.____________.com/vb/modcp/save.php
includes
www.________*.com/vb/includes/save.php
والأن خلصنا من شرح طريقة حماية المنتدى والطريقه هذي تستطيع عملها على جميع إصدارات vBulletin
واللذي سيختلف في النسخة vb2 هو إضافة الحماية على المجلدات التالية فقط :
admin
mod
ثانياً : طريقة إغلاق أخطر ثغرتين للنسخة الجديدة vb3
ثغرة في ملف editpost.php
إفتح الملف وفي أوله بعد______________
أضف الكود التالي
$title = addslashes($title);
if (strstr($title,"____________") != NULL){
echo "hello.. are you hacking us?<br>vBulletin<br>note: use scr!pt";
exit;
}
ثغرة في ملف sub____________ions/authorize.php
وطريقة إغلاقها
تبحث في الملف authorize.php عن الكود هذا
$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " . TABLE_PREFIX . "user WHERE userid = " . $item_number[1]);
وتحذفه وتضع بداله الكود هذا
$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " .
TABLE_PREFIX . "user WHERE userid = " .intval( $item_number[1]));
بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها :
==========================================
1- ثغرة ملف التعليمات faq.php :
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .
الترقيع للثغره :
* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:
// initialize some template bits
$faqbits = '';
$faqlinks = '';
أضف بعده الكود التالي
$navbits[''] =$vbphrase['faq'];
* إحفظ الملف.
==========================================
2-ثغرة ملف editpost.php :
وهي ثغره من نوع CrossSite ____________ing وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )
الترقيع:
* قم بفتح ملف editpost.php وابحث عن السطر التالي:
$edit['title'] = trim($_POST['title']);
إستبدله بهذا السطر
$edit['title'] = trim(xss_clean($_POST['title']));
* احفظ الملف .
==========================================
3- ثغرة ملف authorize.php:
وهي ثغره من نوع SQL Injection.
وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل
==========================================
4- إذا كانت لوحة تحكم المشرف العام مفتوحه
للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
عن طريق htaccess .
ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
بعدها قم بفتح ملف config.php وابحث عن كلمة admincp
وضع بدلاً منها اسمك الجديد .
==========================================
5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط
اتمنى ان الشرح اعجبكم
السلام عليكم ورحمة الله وبركاته
اليوم جايب طرق ترقيع الثغرات في المنتدى النسخه 3,0,3
نبنتدي الشرح...
بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها :
==========================================
1- ثغرة ملف التعليمات faq.php :
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .
الترقيع للثغره :
* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:
// initialize some template bits
$faqbits = '';
$faqlinks = '';
أضف بعده الكود التالي
$navbits[''] =$vbphrase['faq'];
* إحفظ الملف.
==========================================
2-ثغرة ملف editpost.php :
وهي ثغره من نوع CrossSite ____________ing وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )
الترقيع:
* قم بفتح ملف editpost.php وابحث عن السطر التالي:
$edit['title'] = trim($_POST['title']);
إستبدله بهذا السطر
$edit['title'] = trim(xss_clean($_POST['title']));
* احفظ الملف .
==========================================
3- ثغرة ملف authorize.php:
وهي ثغره من نوع SQL Injection.
وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل
==========================================
4- إذا كانت لوحة تحكم المشرف العام مفتوحه
للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
عن طريق htaccess .
ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
بعدها قم بفتح ملف config.php وابحث عن كلمة admincp
وضع بدلاً منها اسمك الجديد .
==========================================
5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط
اتمنى ان الشرح اعجبكم
بسم الله الرحمن الرحيم
السلام عليكم وحمة الله وبركاته،،،
اتمنى الموضوع يفيدكم في شي ولو بقليل ، علمي انا صاحب المنتدى خبير في معظم الامور ( ما شاء الله عليه)، بس حبيت للفائده له وللغير
* كلمات المرور :
أسهل طريق أمام المخترق هو تجربة كلمات مرور عدة حتى يصل لهدفه ... أو قد يقوم صاحب المنتدى بنشر كلمة مروره عن طيبة قلب لشخص أو لآخر .....
يجب الحذر كثيراً من هذه النقطة .... حاول تغيير كلمة مرورك بشكل دوري و لا تحفظها في أي مكان على جهازك (إذا خشيت من نسيان الكلمة فعليك بحفظها على ورقة خارجية) . كذلك لا تحفظها في المتصفح فقد يكون الوصول إليها سهلاً لو نجح المخترق في اختراق جهازك الشخصي .
*لا تستخدم اسم الـ Admin في مشاركاتك في المنتدى ...:
يفضل أن تنشأ اسماً خاصاً تدخل به على لوحة التحكم و اسماً آخراً تشارك به في المنتدى و السبب أن لا يكون اسم الأدمن معروفاً للجميع و في ذلك بعض الخطورة .
*تغيير خصائص الأدمن :
نعلم جميعاً أن المنتديات تعطي صلاحية للأعضاء المنتمين للعضوية Adminstration
و أغلب الثغرات التي يحاول المخترقون ايجادها تكون بإعطاء صلاحية أدمن لنفسه ....
إذن .... الحل الأكيد لمنع مثل هذه المحاولات هو تغيير خصائص الأدمن من لوحة التحكم الخاصة بمنتداك ..... كل ما عليك هو أن تغيير خصائص الأدمن ليصبح مثله مثل أي عضو آخر (لا يستطيع تعديل المواضيع - لا يستطيع دخول لوحة التحكم - لا يستطيع رؤية الساحات الخاصة) ..... عندها تستطيع أن تنام و أنت مرتاح البال ....
*تحديث المنتدى بشكل دوري :
احرص على الحصول على آخر نسخة من منتداك لأنها غالباً ما تكون خالية من ثغرات النسخ القديمة ..... و لا بأس من التروي قليلاً للتأكد من خلو النسخة الجديدة من الثغرات أيضاً ...
*متابعة الموقع الرسمي للمنتدى :
احرص على زيارة الصفحة الرئيسية للشركة المنتجة للاطلاع على آخر الثغرات و رقع هذه الثغرات .
*عمل باك آب بشكل دائم للمنتدى :
من البديهي أن هذه النقطة هي نقطة مهمة جداً .... لأنك على أسوأ الأحوال ستتمكن من العودة إلى آخر نقطة عملت باك آب عندها ...
ماهو الموعد المناسب لعمل باك آب ؟
هذا يعتمد على حجم منتداك ..... فقد تحتاج لعمل باك آب بشكل اسبوعي أو حتى يومي إذا كان المنتدى ضخماً ...
*اجعل كلمات المرور غير ظاهرة في لوحة التحكم :
مثلاً في منتديات الـ VB هناك خاصية تسمح لك بإخفاء كلمات المرور في لوحة التحكم و ذلك من خلال ملف Config الخاص بمنتداك ... (كل ما عليك هو تغيير أحد القيم من 1 إلى 0) .
*ماذا يحدث غالباً عند اختراق المنتدى ؟
غالباً فإن المخترق يتمكن من اختراق المنتدى باستخدام ثغرة تنشر على الشبكة أو يكتشفها بنفسه ....
لذلك فلا تقلق على موقعك الأصلي (إن كان الموقع يحتوي على أقسام أخرى غير المنتدى) .... لأن المخترق لم يتمكن من اختراق الموقع نفسه كل ما فعله هو التمكن من الدخول على لوحة التحكم بإعطاء نفسه صلاحيات المشرف .
هنا قد يغير المخترق صفحة البداية من المنتديات ..... و هو أقل شيء يفعله ليخبر الجميع بعملية الاختراق ...
بالطبع ستساء كثيراً إذا دخلت يوماً على منتداك و فوجئت بأن صفحة البداية مختلفة !!
ماذا تفعل حينها ؟
إذا كنت تريد نصيحتي فإن هناك طريقة قد لا ترضي الجميع و لكنها بالنسبة لي أفضل مليون مرة من الصفحة التي يضعها المخترق !
كل ما عليك هو أن تدخل على ملفات موقعك من خلال أي برنامج FTP و قم بتغيير البيرمشنز الخاصة بمجلد المنتدى ليتجعل الوصول إليه محجوباً عن الجميع ...
عندها ستظهر رسالة 403 fORBIDEN
إذا كان لا يعجبك شكلها فيمكنك استخدام صفحات الخطأ البديلة إذا كان المستضيف يعطيك هذه الخاصية .
* هل منتداك آمن عند هذه النقطة ؟
لا نستطيع أن نجزم بذلك للأسف ...... لكن نستطيع أن نقول أنه لم يتبقى طرق أخرى معروفه أمام المخترق سوى محاولة اختراق السرفر نفسه و هي عملية أصعب قليلاً من عملية اختراق منتدى ....
و لحماية سيرفرك اتبع التالي :
* عليك أن تحرص استضافة موقعك لدى شركة معروفة و مضمونة ببرامجها الآمنة و المتجددة دائماً ...
* كما أرجو ألا تهمل كلمة مرورك بأي حال من الأحوال .
*احرص على استخدام صفحات الخطأ البديلة لأنها تمنع المخترق من معرفة نوع السيرفر الذي يعمل عليه موقعك .
*احرص على استخدام برامج آمنة في موقعك
أولاً الحماية :
بعد ماتركب منتدى جديد أو تحدث إصدار منتداك
تعمل الأتي :
تحذف مجلد install
تضع حماية على المجلدات التالية :-
admincp
modcp
includes
وحماية المجلدات تتم عن طريقتين :
الأولى : عن طريق لوحة تحكم موقعك وهي معروفة للجميع
الثانية : عن طريق رفع ملف مخصص لإضافة حماية على أي مجلد تريد
وراح أشرح الأن حماية المجلدات عن طريق الملف :
أولاً حمل الملف فى المرفقات
وضعه في مجلد admincp
وأعط الملف save.php الترخيص 755
وأعط مجلد admincp الترخيص 777
إذهب إلى المتصفح وضع فيه الرابط هذا
www.________.com/vb/admincp/save.php
حيث أن ________إسم موقعك
وsave.php إسم الملف
وإضغط إنتقال أو إنتر راح يطلب منك إسم مستخدم وكلمة مرور
أكتب المطلوب وبعدها إضغط على كلمة إحم المجلد
وأخيراً إحذف المجلد save.php
وبكذا تكون حميت مجلد admincp
وهكذا تعمل بباقي المجلدات :
modcp
www.____________.com/vb/modcp/save.php
includes
www.________*.com/vb/includes/save.php
والأن خلصنا من شرح طريقة حماية المنتدى والطريقه هذي تستطيع عملها على جميع إصدارات vBulletin
واللذي سيختلف في النسخة vb2 هو إضافة الحماية على المجلدات التالية فقط :
admin
mod
ثانياً : طريقة إغلاق أخطر ثغرتين للنسخة الجديدة vb3
ثغرة في ملف editpost.php
إفتح الملف وفي أوله بعد______________
أضف الكود التالي
$title = addslashes($title);
if (strstr($title,"____________") != NULL){
echo "hello.. are you hacking us?<br>vBulletin<br>note: use scr!pt";
exit;
}
ثغرة في ملف sub____________ions/authorize.php
وطريقة إغلاقها
تبحث في الملف authorize.php عن الكود هذا
$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " . TABLE_PREFIX . "user WHERE userid = " . $item_number[1]);
وتحذفه وتضع بداله الكود هذا
$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " .
TABLE_PREFIX . "user WHERE userid = " .intval( $item_number[1]));
بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها :
==========================================
1- ثغرة ملف التعليمات faq.php :
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .
الترقيع للثغره :
* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:
// initialize some template bits
$faqbits = '';
$faqlinks = '';
أضف بعده الكود التالي
$navbits[''] =$vbphrase['faq'];
* إحفظ الملف.
==========================================
2-ثغرة ملف editpost.php :
وهي ثغره من نوع CrossSite ____________ing وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )
الترقيع:
* قم بفتح ملف editpost.php وابحث عن السطر التالي:
$edit['title'] = trim($_POST['title']);
إستبدله بهذا السطر
$edit['title'] = trim(xss_clean($_POST['title']));
* احفظ الملف .
==========================================
3- ثغرة ملف authorize.php:
وهي ثغره من نوع SQL Injection.
وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل
==========================================
4- إذا كانت لوحة تحكم المشرف العام مفتوحه
للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
عن طريق htaccess .
ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
بعدها قم بفتح ملف config.php وابحث عن كلمة admincp
وضع بدلاً منها اسمك الجديد .
==========================================
5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط
اتمنى ان الشرح اعجبكم
السلام عليكم ورحمة الله وبركاته
اليوم جايب طرق ترقيع الثغرات في المنتدى النسخه 3,0,3
نبنتدي الشرح...
بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها :
==========================================
1- ثغرة ملف التعليمات faq.php :
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .
الترقيع للثغره :
* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:
// initialize some template bits
$faqbits = '';
$faqlinks = '';
أضف بعده الكود التالي
$navbits[''] =$vbphrase['faq'];
* إحفظ الملف.
==========================================
2-ثغرة ملف editpost.php :
وهي ثغره من نوع CrossSite ____________ing وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )
الترقيع:
* قم بفتح ملف editpost.php وابحث عن السطر التالي:
$edit['title'] = trim($_POST['title']);
إستبدله بهذا السطر
$edit['title'] = trim(xss_clean($_POST['title']));
* احفظ الملف .
==========================================
3- ثغرة ملف authorize.php:
وهي ثغره من نوع SQL Injection.
وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل
==========================================
4- إذا كانت لوحة تحكم المشرف العام مفتوحه
للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
عن طريق htaccess .
ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
بعدها قم بفتح ملف config.php وابحث عن كلمة admincp
وضع بدلاً منها اسمك الجديد .
==========================================
5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط
اتمنى ان الشرح اعجبكم
Admin- Admin
- عدد المساهمات : 30
نقاط العضو : 33949
السٌّمعَة : 0
تاريخ التسجيل : 20/11/2015
العمر : 22
الموقع : https://hakeralgerie.rigala.net/ -
مواضيع مماثلة» كيف يمكن اختراق الفيس بوك
» جميع برامج اختراق الاجهزة
» اختراق الايرت لنك بطريقة جيد مع برامج
» الدرس التاني في اختراق المواقع
» اختراق موقع شركة نيسان السعودية مرتين متتاليتين في يوم واحد
» جميع برامج اختراق الاجهزة
» اختراق الايرت لنك بطريقة جيد مع برامج
» الدرس التاني في اختراق المواقع
» اختراق موقع شركة نيسان السعودية مرتين متتاليتين في يوم واحد
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى
» كيف ازيد متابعيني بتويتر
» كيف يمكن اختراق الفيس بوك
» تعليم الهكر
» كيفة التشويش على القنوات الفضائيه
» القانون الاول
» الدرس التاني في اختراق المواقع
» اختراق موقع شركة نيسان السعودية مرتين متتاليتين في يوم واحد
» خريطة الهجمات الإلكترونية حول العالم وقت حدوثها