[ الدرس الثاني ] سد و ترقيع جميع الثغرات و حماية المنتدى

**Ahmed** · #1 09-22-2008, 04:57 PM

السلام عليكم و رحمة الله و بركاته

بعد أن قمنا بتطبيق الدرس الأول و هو مجرد تركيب للسيرفر الشخصي و عمل قاعدة بيانات و تركيب نسخة منتدى vB ، كل هذا فقط لتسهيل علينا عناء التطبيق مباشرة على الموقع و ايضاً للتجربه و من ثم التطبيق المباشر على الموقع بعد ان يكون كل شئ تمام

اليوم سنقوم بعمل ترقيعات بسيطه لبرنامج الـ vBulletin و طبعاً ليست مثل الترقيعات التي كنا نسمع عنها قديماً مثل ثغره بالمتواجدون الأن و ثغره بالتقويم و ثغره بالأسئله الشائعه

لا لا إحتمال هذا كان يوجد في النسخ القديمه لكن النسخ الجديده اكثر حمايه و امان من النسخ القديمه ( لذلك ننصح بالترقيه المستمر إلي آخر إصدار حتى نتفادي أي اخطاء برمجيه او ثغرات في الإصدارات القديمه )

سنقوم في هذا الدرس بعمل ترقيعات لثغرات خفيفه مثل ثغره التحويل ( و التي يمكن سدها عن طريق الكلمات الممنوعه ) و لكن سنقوم سدها عن طريق التعديل على الملفات حتى لا نسبب بعض المشاكل في المنتدى بسبب منع كلمات يمكن ان تكون ضرورية لصاحب المنتدى

يلا مش هكتر عليكم في الكلام و هنبدأ بالشرح بإذن الله حتى لا يحدث اي ملل

خصوصاً انه الدرس هيكون اليوم كله تعديلات على ملفات و اضافات فسوف يكون الدرس شرح كتابي ..

ثغرة التحويل :-

نقوم بفتح الملف newthread.php بأي محرر نصي و ليكن الـ Notepad .

نقوم بالبحث عن الكود التالي

كود PHP:


			
$newpost['title'] =& $vbulletin->GPC['subject'];

نقوم بإستبداله بالكود التالي

كود PHP:


			
//------------ Protect-Sites.CoM ---------------
        $bandWordsR=strtolower(& $vbulletin->GPC['subject']);
        if(!(eregi('content',$bandWordsR)
        or  eregi('refresh',$bandWordsR)
        or eregi('equiv',$bandWordsR)
        or eregi('<meta>',$bandWordsR)
        or eregi('meta',$bandWordsR)))
        {
        $newpost['title'] =& $vbulletin->GPC['subject'];
        }
        else
        {
        $newpost['title'] =htmlspecialchars_uni(& $vbulletin->GPC['subject']);
        }
        if( eregi('script',$bandWordsR)
        and eregi('window',$bandWordsR)
        and eregi('javascript',$bandWordsR)
        and eregi('location',$bandWordsR))
        $newpost['title'] ='';
 
 
//------------ Protect-Sites.CoM ---------------

لو قمنا بالتدقيق بالكود نلاحظ انه يوجد به الكلمات التي نقوم بمنعها و للمعلوميه هذه الكلمات الممنوعه تكون ممنوعه في محتوى الموضوع او عنوان الموضوع أي لا تؤثر على شئ ثاني في المنتدى

-- إنتهينا من سد ثغرة التحويل عن طريق الكود الذي يتم وضعه بالمواضيع

ثغرة التحويل بهاك الإهداءات :-

كل ما عليك هو تركيب الإصدار الجديد منه و هو الإصدار الخامس .. حيث عند تركيبك للإصدار الجديد لن تحتاج الي التعديل على ملفات و سد اي ثغرات حيث تم سد الغرات بالإصدار الجديد و خالي من اي مشاكل .

بعد ذلك نقوم إضافة هاك منع استغلال ثغرة التحويل في الاحصائيات + آخر عشر مواضيع والهاك موجود بالمرفقات بإسم product-protect_from_xss

ملاحظات مهمه :-
- تأكد من انه تم تعطيل لغه الـ HTML من جميع اقسام المنتدى .
- تأكد من ان الهاكات التي تقوم برفعها خاليه من الثغرات و ايضاً عليك الترقيه المستمره لأي هاكات يتم صدور اصدار جديد منها حتى تتفادي اي ثغرات موجوده بالإصدارات القديمه .

------------------ إنتهينا من سد ثغرات التحويل و ترقيعها ------------------

الأن نأتي إلي سد الثغرات التي تتعلق بالإستايل و إختراق الإستايل .

سنقوم الأن بترقيع ثغرة spacer_open و spacer_close .. تابع معي ،

نقوم بفتح الملف global.php الموجود داخل مجلد المنتدى الرئيسي بأي محرر نصي و ليكن Notepad

نقوم بالبحث عن

كود PHP:


			
fetch_template('spacer_open')

نقوم بتغير spacer_open إلي أي أسم نريده .

مثال قمت بتغيره إلي magic_open فأصبح الكود على الشكل التالي

كود PHP:


			
fetch_template('magic_open')

ثم نقوم بالبحث عن

كود PHP:


			
fetch_template('spacer_close')

و نقوم بتغير spacer_close إلي اي اسم أخر و لكن ليس نفس الإسم الذي قمنا بتغيره في الخطوه السابقه

مثال قمت بتغيره إلي magic_close فأصبح الكود على الشكل التالي

كود PHP:


			
fetch_template('magic_close')

قم بحفظ الملف بعد ذلك

الأن نقوم بالذهاب الي لوحة التحكم admincp و من ثم نقوم بإختيار خيارات الإستايلات و القوالب > التحكم بالإستايلات

ثم نقوم بالضغط على إضافة قالب جديد

نضع مكان إسم القالب أول اسم قمنا بتغيره ( أنا قمت بتغيره إلي magic_open )

ثم نضع الكود التالي في محتوى القالب

كود PHP:


			
<!-- open content container --> 
<if condition="$show['old_explorer']"> 
    <table cellpadding="0" cellspacing="0" border="0" width="$stylevar[outertablewidth]" align="center"><tr><td class="page" style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px"> 
<else /> 
<div align="center"> 
    <div class="page" style="width:$stylevar[outerdivwidth]; text-align:$stylevar[left]"> 
        <div style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px"> 
</if>

ثم اضغط حفظ

ثم نقوم بإضافة قالب جديد مره أخرى

نضع مكان إسم القالب أول اسم قمنا بتغيره ( مثلاً انا قمت بتغيره إلي magic_close )

ثم نضع الكود التالي في محتوى القالب

كود PHP:


			
<if condition="$show['old_explorer']">
 </td></tr></table>
<else />
  </div> 
 </div>
</div>
</if>
<!-- / close content container -->

ثم اضغط حفظ

نقوم بطبيق هذا على جميع الإستايلات التي تستخدمها ..

الأن باقي عليك رفع هاك تعطيل تلغيم الإستايل و هو موجود بالمرفقات .

----------------- إنتهينا من حماية الإستايل -----------------

- ثغرة فلود التسجيل :-

يتم حل هذه الثغره عن طريق تفعيل صورة التحقق في التسجيل و تكون عن طريق التالي

خيارات المنتدى > خيارات تسجيل الأعضاء > التحقق من الصورة ( إختر نعم )

----------------- إنتهينا من ثغرة فلود التسجيل -----------------

إلي درس قادم أقوى بإذن الله ،،

تحياتي لكم .. اخوكم / احمد .

mabs · 09-22-2008, 05:46 PM

جاري العمل

.:: عالم التصميم ::. · 09-22-2008, 05:59 PM

جآري العمل ...

mabs · 09-22-2008, 06:17 PM

لقد تم عمل كل شيء
لكني لم اجد
هذا الخيار التحقق من الصورة
مع باقي الخيارات داخل خيارات المنتدى > خيارات تسجيل الأعضاء

ولد جدة · 09-22-2008, 09:23 PM

اقتباس:

لقد تم عمل كل شيء
لكني لم اجد
هذا الخيار التحقق من الصورة
مع باقي الخيارات داخل خيارات المنتدى > خيارات تسجيل الأعضاء

تلقاه في خيارات التحقق البشري اليدوية لو كانت نسختك من 3.7

وناسه كافيه · 09-22-2008, 09:42 PM

جاري العمل

أبجديات · 09-22-2008, 10:42 PM

تم تطبيقه بالحرف الواحد

لكن هل الطريقة تغني عن كتابة الكلمات الممنوعة في المنتدى

**Ahmed** · 09-23-2008, 01:26 AM

موفقين جميعاً إن شاء الله

بالنسبه لسؤال حبيبي الغالي أبجديات

نعم هذه الطريقه تغنيك عن منع الكلمات التي قد تؤدي الي بعض المشاكل بالمنتدى ..

ابو مالك · 09-23-2008, 02:16 AM

قيد التنفيذ

بارك الله فيك

ramy-saed · 09-23-2008, 02:18 AM

تسلم ايدك على مجهودك الرائع ده و جاري التطبيق ياغالي بجد شغل روعه 100 100

09-22-2008, 05:59 PM	#3
.:: عالم التصميم ::. :: عضو مميز :: تاريخ التسجيل: Aug 2008 الدولة: :+:: آحلـــ مكهــ ـــى ::+: المشاركات: 551 التقييم: 62	جآري العمل ... التوقيع

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
انواع عرض الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
:: الدرس الثاني :: تحميل وتنصيب برنامج الفوتوشوب ::	الغربيه دوت نت	[ صالة ] دروس في عــالم التصميــم	2	12-21-2011 05:56 PM
[الدرس الثاني] دورة بحرين في بي لتصميم الاستايلات	BAH®ANEY	[ صالة ] دروس في عــالم التصميــم	5	12-21-2011 01:49 PM
[الدرس الثاني] شرح حجز مساحة 300 ميغا بيت + 10 جيجا ترافيك شهري مجانية من القمة هوست	Y A S S I N E	[ صالة ] تطويــــر المواقـــــــــــــع	1	11-27-2009 01:15 PM
هاك فعاليات المنتدى برمجة فخر الإمارات الإصدار الثاني	Miss Dla3	[ صالة ] تطوير منتديـــــ vb3.7.X ــات	3	04-18-2009 04:42 PM
:: الدرس الاول فى لوحة الادارة المنتدى ::	I74Host.CoM	[ صالة ] تطوير منتديـــــ vb3.7.X ــات	3	10-11-2008 03:47 PM

خدمات

فيبيولتن

vBulletin

روابط اعلانية

09-22-2008, 05:46 PM	#2
mabs :: عضو مبدع :: تاريخ التسجيل: Sep 2008 الدولة: الجزائر المشاركات: 143 التقييم: 50	جاري العمل

09-22-2008, 06:17 PM	#4
mabs :: عضو مبدع :: تاريخ التسجيل: Sep 2008 الدولة: الجزائر المشاركات: 143 التقييم: 50	لقد تم عمل كل شيء لكني لم اجد هذا الخيار التحقق من الصورة مع باقي الخيارات داخل خيارات المنتدى > خيارات تسجيل الأعضاء

09-22-2008, 09:42 PM	#6
وناسه كافيه :: عضو جديد :: تاريخ التسجيل: Sep 2008 الدولة: الرياض المشاركات: 17 التقييم: 50	جاري العمل

09-22-2008, 10:42 PM	#7
أبجديات :: عضو مبدع :: تاريخ التسجيل: Sep 2008 الدولة: ksa المشاركات: 110 التقييم: 1050	تم تطبيقه بالحرف الواحد لكن هل الطريقة تغني عن كتابة الكلمات الممنوعة في المنتدى

09-23-2008, 01:26 AM	#8
Ahmed ~}ṢỊĿẸŅṬ تاريخ التسجيل: Aug 2008 الدولة: مصر المشاركات: 909 التقييم: 1057	موفقين جميعاً إن شاء الله بالنسبه لسؤال حبيبي الغالي أبجديات نعم هذه الطريقه تغنيك عن منع الكلمات التي قد تؤدي الي بعض المشاكل بالمنتدى ..

09-23-2008, 02:16 AM	#9
ابو مالك :: عضـو شـرف :: تاريخ التسجيل: Sep 2008 الدولة: Egypt المشاركات: 241 التقييم: 2082	قيد التنفيذ بارك الله فيك

09-23-2008, 02:18 AM	#10
ramy-saed :: عضو جديد :: تاريخ التسجيل: Sep 2008 الدولة: مصر المشاركات: 5 التقييم: 50	تسلم ايدك على مجهودك الرائع ده و جاري التطبيق ياغالي بجد شغل روعه 100 100

الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)