| | |
 |
| |
 |
| |||
   |
 |  |  |
| |||||||
 |  |  |
| المواقع والمنتديات وتطويرها لكل ما يتعلق من مشاكل وحلول وهاكات للمنتديات |
| | أدوات الموضوع |
|
#1
28-08-2007, 11:25 PM
| ||||
| ||||
 :: ثغرات المنتدى واغلاقها [موضوع كامل عن حماية المنتدى] اعداد H2o :: السلام عليكم ورحمة الله وبركاته :: موضوع متجدد عن الثغرات واغلاقها ،،، في حالة وجود الردود والمشاهدات والاستفسارات :: الكل يريد ان يحمي موقعه من اطفال الانترنت ومن المتطفلين " الكراكر" بمسامهم الصحيح او الهاكرز بالمعنى السائد . بسم الله نبداء . آخر اصدارة لسكربت المنتديات من الشركه المنتجه vBulletin® هي النسخه الاخيره والتي صدرت قبل اسبوعين 3,6,8 وهي لازالت تجريبية كالنسخه التي سبقتها . ما يهمنا الان هو كيفية حماية اي نسخه لانه وللاسف لا تزال هذه الشركه تصدر اصدارات جديده وتحتوي على ثغرات بكم هائل . اول ثغرة وكيفية اغلاقها . ثغرة الـ Config.php وهي تمكن المخترق من الحصول على التالي : اسم قاعدة البيانات اسم المستخدم لقاعدة البينات كلمة المرور لمستخدم قاعدة البينات ومن خلال هذه المعلومات الثلاث يستطيع الاتصال بقاعدة البينات والعبث فيها كما يشاء والاغلبيه يكتفي بتغيير حقل الـ forumhome في جدول style وهذا الشي خطير جدا لذلك يجب اتباع الاتي . اولا تغيير مسمى ملف config.php والموجود في مجلد includes داخل مجلد الـ vb لنفترض اننا قمنا بتغيير اسم ملف الـ config.php الى sultan.php هذه اول خطوة يجب عملها هو تغيير اسم الملف الخطوة الثانيه ابحث عن هذا الملف adminfunctions.php داخل مجلد Includes قم بفتحه بواسطة المفكره . ابحث في داخل هذا الملف عن config.php واستبدلها بـ المسمى الجديد وهو مثلا sultan.php وسوف تجد ان كلمة config.php موجوده لمره واحده فقط ثم قم بالحفظ ابحث عن ملف class_core.php داخل مجلد الـ includes وافتحه بواسطة المفكره . ابحث داخل هذا الملف عن config.php واستبدلها بالمسمى الجديد لملف الـ config.php وهو sultan.php وسوف تجد انها 10 لذلك يجب استبدال الـ 10 كلمات " config.php " بالمسمى الجديد sultan.php ثم قم بالحفظ الان نبحث عن الملف functions.php الموجود داخل مجلد الـ includes ونفتحه بواسطة المفكره ونبحث عن config.php ونستبدلها بالمسمى الجديد sultan.php وسوف تجد انها موجوده لمرتين فقط استبدل هذه الكلمه ثم احفظ الملف الان نذهب الى اخر ملف يتم تعديله داخل مجلد الـ Includes وهو init.php نقوم بفتحه بواسطة المفكره ومن ثم نبحث عن config.php ونستبدلها بالمسمى الجديد sultan.php وسوف نجد انها موجوده لمرتين فقط نقوم بالحفظ . ننقتل الان الى مجلد الـ admincp نبحث عن هذا الملف diagnostic.php بداخله نفتحه بواسطة المفكره . نبحث عن كلمة config.php ونستبدلها بالمسمى الجديد sultan.php وهي موجوده مرتين فقط قم بحفظ الملف . انتهينا من طريقة تغيير ملف الـ config.php الان نريد حماية اكثر بواسطة تغيير مسار مجلدين مهمه وهي الاول admincp والثاني modcp بواسطة اما برنامج الـ FTP او بواسطة لوحة تحكم الموقع لك الخيار في ذلك بواسطة برنامج الـ ftp ادخل على موقعك افتح المجلد الرئيسي للموقع public_html او www كلهم مثل بعض . ادخل مجلد المنتدى vb سوف تجد مجلد الـ admincp بالزر اليمين للفاره واختر rename وضع اسم صعب مثلا administratorbalasmercomvb ايضا سوف تجد مجلد الـ modcp قم بتغيير اسمه بالزر اليمين على المجلد اختر rename ايضا ضع اسم صعب مثلا moderatorcontrolpanelbalasmer الان تم تغيير هذه المجلدين . بعد تغيير المجلدين نذهب الى ملف الـ config.php سابقا والي غيرنا اسمه الى sultan.php كمثال . نفتحه بالمفكره ونبحث عن التالي : $config['Misc']['admincpdir'] = 'admincp'; نستبدل الكلمه الموضحه بالاحمر بالاسم الجديد لمجلد الـ admincp سابقا وقلنا مثلا administratorbalasmercomvb بدون اي تغيير في الكود نهائيا فقط استبدل الكلمة المحددة . ايضا ابحث عن التالي : $config['Misc']['modcpdir'] = 'modcp'; ونستبدل الكلمه الموضحه باللون الاحمر بالاسم الجديد للمجلد modcp وقلنا مثلا moderatorcontrolpanelbalasmer الان نبحث عن : $config['Misc']['c ookieprefix] = 'bb'; ونستبدل الحرفين bb بحروف صعبه مثلا hlsgjsalgjgiw الان قم بحفظ ملف sultan.php الـ config.php سابقا . انتهى الشرح اتمنى ان اكون وفقت فيه اسال الله لكم التوفيق والسداد . اي نقطه غير واضحه في الشرح اتمنى ابلاغي لكي اوضحها بالصور دمتم كما تحبون ،،، التعديل الأخير تم بواسطة ..:::|~H2O~|:::.. ; 28-08-2007 الساعة 11:42 PM. |
|
29-08-2007, 12:41 AM
| #2 |
| ادارة الموقع   | يعطيك العافيه اخوي سلطان على المشاركة القيمه لا عدمناك
|
|
| مواقع النشر |
| أدوات الموضوع | |
| |
 |  |  |
