منتديات مدينة الاحلام

فيس بوك مدينة الاحلام twitter RSS 

 
 

 

 

معجبو مدينة الاحلام علي الفيس بوك

  #1  
قديم 16 - 12 - 2006, 11:11
الطيــر غير متصل
مراقب سابق
 


الطيــر is on a distinguished road
إرسال رسالة عبر مراسل MSN إلى الطيــر إرسال رسالة عبر مراسل Yahoo إلى الطيــر
افتراضي [ موسوعه الحمايه للمنتديات vb فقــط ]










[ موسوعه الحمايه للمنتديات vb فقــط ] .. 19 خطوة للحمايه

--------------------------------------------------------------------------------

1- إذا كانت لوحة تحكم المشرف العام مفتوحه

للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
عن طريق htaccess .

وهنا شرح لكيفيت صنع ذلك ..


ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard
بعدها قم بفتح ملف config.php وابحث عن كلمة admincp


وضع بدلاً منها الأسم الجديد.
اذهب الى لوحة تحكم الموقع السي بانال واضغط على ايقونه
password protect directories بعدها سيظهر لك مجلدات موقعك حدد مجلد المنتدى
اضغط على مجلد المنتدى ستفتح لك صفحه اخرى اختر المجلد المطلوب حمايته
وهو مجلد المنتدى الذي غيرت اسمه سابقاً اضغط عليه ستفتح صفحة جديدة
ضع علامة صح في مربع القفل المغلق ومن ثم اضغط على save
ارجع لنفس الصفحة بالضغط على زر back
الان نقوم بوضع اسم مستخدم وباسورد لحماية مجلد الجديد
افعل ذالك واحفظ شغلك وكرر العمليه مع المجلدات المهمه


وهنا شرح لكيفيت صنع ذلك ..
افتح ملف config.php الموجود تحت مجلد include
قم بتعديل اسماء المجلدات كالتالى
$admincpdir = 'admincp'; (قم بتغير اسم المجلد) أو إلى اي اسم تريد
$modcpdir = 'modcp'; (قم بتغير اسم المجلد) أو إلى اي اسم تريد
قم بتغيير اسم مجلد admincp للاسم الذى كتبته بملف الكونفيج
الان ارفع ملف الكونفيج
انشىء مجلد جديد وسمه admincp وكذالك انشئ مجلد جديد اخر باسم modcp
للحمايه اكثر لمجلد الادمين
إذا كانت لوحة تحكم المشرف العام مفتوحه

=================================================

2- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً
عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط .

=================================================

3- ثغره (subscriptions ) مجلد التسويق :

وهي ثغره من نوع SQL Injection.
يوجد المجلد subscriptions داخل مجلد vb ويحتوي على خمسه ملفات
authorize.php و nochex.php و paypal.php و worldpay.php
وهي ملفات تعليميه - خدميه - اعلانيه - ازعاجيه يمكن للمخترق
ارسال أوامر لقاعده البيانات وإستلامها إيضاً

الترقيع :

* قم بحمايه للمجلد subscriptions او اعطاه التصريح 777 او حذفه وهو الافضل

=================================================

4- ثغره install الترقية:

وهي ثغره خطير تمكن المخترق من سحب كامل الجداول في منتداك
وتخريب المنتدي كذالك بإعاده الترقيه من جديد للمنتدي

=================================================

5- للحمايه قم بوضع جدار ناري للمجلد (includes) و(modcp) و (admincp)

=================================================

6- ثغره ******************prefix الكويكز:

افتح ملف الكونفيق الي في منتداك config.php في مجلد includes



كود PHP:

// Prefix that all vBulletin ******************s will have
// For example
$******************prefix = 'bb';






غير الحرف bb الى اي حروفان تريدهما.

* إحفظ الملف.

=================================================

7- ثغرة في init.php في مجلد includes :

قم باعادة تحميل ملف init.php
ملاحظة : الملف مرفق بالموضوع

=================================================

8- ثغرة ملف التعليمات faq.php الأسئله الشائعه:

وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .

- الترقيع للثغره :

* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:



كود PHP:

// initialize some template bits
$faqbits = '';
$faqlinks = '';






*أضف بعدها مايلي:



كود PHP:

$navbits[''] =$vbphrase['faq'];






* إحفظ الملف.

=================================================

9- ثغرة ملف editpost.php تعديل المواضيع:

وهي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )

الترقيع:

* قم بفتح ملف editpost.php وابحث عن السطر التالي:



كود PHP:

$edit['title'] = trim($_POST['title']);






* استبدله بهذا السطر:



كود PHP:

$edit['title'] = trim(xss_clean($_POST['title']));






* إحفظ الملف.

=================================================

10- ثغرة ttlast.php العشر مواضيع :

الثغره موجود في نفس سكربت العشر مواضيع في المتغير $ftitle

الترقيع:

* قم بفتح ملف ttlast.php وابحث عن المتغيرات التاليه:

$fsel و $ftitle

وقم بحذفها من واحفظ الملف وانتهى كل شي يخص الثغرتين .

=================================================

11- ثغره الاب لود (مركز تحميل الملفات) :

وهي ثغره من خطيره جداً تمكن المخترق من السيطره على المنتدي وهي تقوم
بإستعداء اللاحقة الاخيره في الملف دون النظر في الملف نفسه

الترقيع الاول:

* قم بفتح ملف uploader.php وابحث عن السطر التالي:

ابحث عن :



كود PHP:

$type = explode("." ,$file_name);






استبدله بـ :



كود PHP:

$type = explode("." ,$file_name,2);






* إحفظ الملف.

الترقيع الثاني:

* قم بعمل ملف بإسم .htaccess وضع بداخله



كود PHP:

RemoveType .php .php3 .php4 .php5 .phtml .pl .cgi






* واحفظ الملف وارفعه داخل ملف الاب لود.

ملاحظة : الملف مرفق بالموضوع للرقعه الثانيه فقط

=================================================

12- ثغره misc.php الإبتسامات :

وهي ثغره من خطيره جداً تمكن المخترق من السيطره على المنتدي

الترقيع :

* قم برفع الملف الموجود داخل المرفقات الخاص بـ misc.php

ملاحظة : الملف مرفق بالموضوع

=================================================

13- ثغرة الـ HTML :

اذهب الى لوحة تحكم المنتدى - ثم - خيارات المنتدى VB OPTIONS
- ثم - User Profile Options - خيارات هوية العضو
السماح بأكواد الـ HTML في التواقيع أجعلها (لا)

خيارات المنتدى
خيارات الرسائل الخاصة
السماح بأكواد الـ HTML في الرسائل الخاصة أجعلها (لا)

خيارات المنتدى
خيارات ملاحظات العضو
السماح بـ HTML في ملاحظات الأعضاء أجعلها (لا)

=================================================

14- لحمايه قصوى افتح memberlist.php في vb

وامسح كامل ما بداخله وضع محتويات ملف index.php الموجود في vb بدل منه

وجدت شرح خفيف للحمايه في ملف memberlist.php لكن لم افهم المقصود منه

يقول افتح ملف memberlist.php وامسح جميه ما بداخله وضع



كود PHP:

****************** http-***************="*********************-Language" *********************="en-us">
<p>sorry member page is not available at the moment</p>






* إحفظ الملف.

=================================================

15- لحمايه قصوى افتح calendar.php في vb

وامسح كامل ما بداخله وضع محتويات ملف index.php الموجود في vb بدل منه

وجدت شرح خفيف للحمايه في ملف calendar.php لكن لم افهم المقصود منه

يقول افتح ملف calendar.php وامسح جميه ما بداخله وضع



كود PHP:

****************** http-***************="*********************-Language" *********************="en-us">
<p>sorry calendar page is not available at the moment</p>






* إحفظ الملف.

=================================================

16- ثغرة محرك البحث :

وهي ثغره من نوع XSS.
استبدل الملف التالي vb/includes/functions_search.php
ملاحظة : الملف مرفق بالموضوع

=================================================

17- ثغرة الصندوق السحري
قم بالذهاب الى لوحة تحكم المنتدى بعدها الى خيارات الاكواد
bbcode option
قم بمسح كود الـ FLASH
فيها ثغرة تتعلق بالكوكيز
كذلك الحال الى كود التنسيق الشعر و RealPlayer قم بحذفه وحذف جميع ملفاته
في الفايل منجر فهو مملوء بالثغرات

ملاحظة : يوجد في المرفقات التعديل الكامل للصندوق السحري والماسي وكذلك الأزارير الأضافيه

=================================================

18- ثغرة في online.php المتواجدون الأن :

(المتواجدون الان ) لم يتم الحصول على ترقيع لها او تحديد لها
لذلك وللاحتياط قم بالغاء عرض صفحة المتواجدون الان للاعضاء المسجلين
والضيوف وغيرهم ما عدا المشرف العام

=================================================

19- ثغره (private.php) الرسائل الخاصه :-

* قم بفتح ملف private.php وابحث عن :



كود PHP:

$pm['title'] = trim($pm['title']);






استبدلها بـ:



كود PHP:

$pm['title'] = trim(xss_clean($pm['title']));







=================================================

20- للاستغناء عن الترقية لأخر إصدار vb3.0.8 يمكنك أستخدام
الملفات المرفقه ..



في الأخير لا يسعني سوا أن اشكر كل الأخوان والأصحاب واخص بالذكر
الوافي و NLP و العندليب و soso4design وأبو عبدالرزاق
وكل من ساهم في حمايه المنتديات العربية..منقوووووووووول


المرفقات
http://www.i1i2.com/uploads/8dabb7dc25.zip

اخوكم
الطيــر


F l,s,ui hgplhdi gglkj]dhj vb trJJ' D

 
 
 
 
 





رد مع اقتباس
قديم 16 - 12 - 2006, 18:05   رقم المشاركة : [2]
..:: زائر مقيم ::..
 

اسير المدينة is on a distinguished road
افتراضي

مجهود طيب منك اخوي
مشكور عليه ومشكورين كل اللي كونو هذا الملف الصغير لكنه مفييييييييييييد


اسير المدينة غير متصل   رد مع اقتباس
قديم 16 - 12 - 2006, 22:41   رقم المشاركة : [3]
..:: من سكان المدينة ::..
 

القعقاع is on a distinguished road
افتراضي

مشكور اخوي الطير

وجزاك الله الخير

تقبل تقديري و احترامي


القعقاع غير متصل   رد مع اقتباس
قديم 16 - 12 - 2006, 22:48   رقم المشاركة : [4]
مراقب سابق
 

الطيــر is on a distinguished road
إرسال رسالة عبر مراسل MSN إلى الطيــر إرسال رسالة عبر مراسل Yahoo إلى الطيــر
افتراضي

شكرأً أسير المدينة على المرور
ويعطيك العافية
اخوك
الطير


الطيــر غير متصل   رد مع اقتباس
قديم 16 - 12 - 2006, 22:49   رقم المشاركة : [5]
مراقب سابق
 

الطيــر is on a distinguished road
إرسال رسالة عبر مراسل MSN إلى الطيــر إرسال رسالة عبر مراسل Yahoo إلى الطيــر
افتراضي

مشكور اخي القعقاع على المرور
شكراً لك كل الاحترام والتقدير
اخوك
الطيــر


الطيــر غير متصل   رد مع اقتباس
قديم 17 - 12 - 2006, 22:09   رقم المشاركة : [6]
المشرف العام للمدينة
الصورة الرمزية mansour
 

mansour تم تعطيل التقييم
افتراضي

مشكور اخي العزيز الطير


معلومات مفيدة من اجل الحمايه


جزاك الله خير

وكثر الله من امثالك


mansour غير متصل   رد مع اقتباس
قديم 17 - 12 - 2006, 23:23   رقم المشاركة : [7]
مراقب سابق
 

الطيــر is on a distinguished road
إرسال رسالة عبر مراسل MSN إلى الطيــر إرسال رسالة عبر مراسل Yahoo إلى الطيــر
افتراضي

شكراً على المرور اخوى منصور
مرورك اسعدني
لا تحرمنا من ردودك
الله يعطيك العافية
اخوك
الطيــر


الطيــر غير متصل   رد مع اقتباس
قديم 28 - 01 - 2007, 12:02   رقم المشاركة : [8]
..:: خدمة العملاء ::..
الصورة الرمزية البرق
 

البرق is on a distinguished road
إرسال رسالة عبر مراسل MSN إلى البرق إرسال رسالة عبر مراسل Yahoo إلى البرق
افتراضي

ما شاء الله عليك
ياااااااااااااااالطير

معلومات مفيده لهذا المنتدى واهله


البرق غير متصل   رد مع اقتباس
قديم 29 - 01 - 2007, 15:07   رقم المشاركة : [9]
مراقب سابق
 

الطيــر is on a distinguished road
إرسال رسالة عبر مراسل MSN إلى الطيــر إرسال رسالة عبر مراسل Yahoo إلى الطيــر
افتراضي

شكراً على المرورالكريم البرق
اخوك
الطيــر


الطيــر غير متصل   رد مع اقتباس
قديم 09 - 04 - 2007, 14:41   رقم المشاركة : [10]
..:: من سكان المدينة ::..
 

نـــور العراقيه is on a distinguished road
افتراضي

]










/
/
/
بنـــتــــ العـــــراااقــــ


نـــور العراقيه غير متصل   رد مع اقتباس
قديم 18 - 01 - 2008, 22:46   رقم المشاركة : [11]
..:: زائر جديد ::..
 

روح العين is on a distinguished road
افتراضي

تسلم اخوي وماتقصر عالشرح


روح العين غير متصل   رد مع اقتباس
قديم 31 - 01 - 2008, 23:54   رقم المشاركة : [12]
..:: زائر جديد ::..
 

y0y9 is on a distinguished road
افتراضي

thanxxxxxxxxxxxxx


y0y9 غير متصل   رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)


تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة



الساعة الآن 18:41.

    Powered by vBulletin Version 3.8.7
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd
ترقية وتطوير: مجموعة الدعم العربى
  

SEO by vBSEO