الرئيسية
المنتديات
المشاركات الجديدة
بحث بالمنتديات
ما الجديد
المشاركات الجديدة
جديد مشاركات الحائط
آخر نشاط
الأعضاء
الزوار الحاليين
مشاركات الحائط الجديدة
البحث عن مشاركات الملف الشخصي
تسجيل الدخول
تسجيل
ما الجديد
البحث
البحث
بحث بالعناوين فقط
بواسطة:
المشاركات الجديدة
بحث بالمنتديات
قائمة
تسجيل الدخول
تسجيل
Install the app
تثبيت
الرئيسية
المنتديات
أقسام مخفية
ارشيف البريمي التكنولوجيه والهواتف
,, <font color="#FF0000">البريمي</font> لـ خطط حما
لحماية المواقع والمنتديات وسد الثغرات المكشوفه ( هام )
تم تعطيل الجافا سكربت. للحصول على تجربة أفضل، الرجاء تمكين الجافا سكربت في المتصفح الخاص بك قبل المتابعة.
أنت تستخدم أحد المتصفحات القديمة. قد لا يتم عرض هذا الموقع أو المواقع الأخرى بشكل صحيح.
يجب عليك ترقية متصفحك أو استخدام
أحد المتصفحات البديلة
.
الرد على الموضوع
الرسالة
<blockquote data-quote="لمسة إحتراف" data-source="post: 65369" data-attributes="member: 457"><p>كافه الطرق لحمايه منتداك من الاختراق للجيل الثالث vb3</p><p>بسم الله الرحمن الرحيم نبداء</p><p></p><p>1- </p><p>افتح ملف config.php</p><p>الموجود تحت مجلدinclude</p><p>قم بتعديل اسماء المجلدات كالتالى</p><p></p><p>$admincpdir = 'admincp'; </p><p>(قم بتغير اسم المجلد)</p><p>$modcpdir = 'modcp'; </p><p>(قم بتغير اسم المجلد)</p><p></p><p>قم بتغيير اسم مجلد admincp للاسم الذى كتبته بملف الكونفيج</p><p>الان ارفع ملف الكونفيج</p><p>انشىء مجلد جديد وسمه admincp</p><p>وكذالك انشئ مجلد جديد اخر باسم modcp</p><p></p><p>للحمايه اكثر لمجلد الادمين</p><p>إذا كانت لوحة تحكم المشرف العام مفتوحه</p><p>للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول</p><p>عن طريق htaccess . </p><p>اذهب الى لوحة تحكم الموقع السي بانال واضغط على ايقونه </p><p>password protect directories</p><p>بعدها سيظهر لك مجلدات موقعك حدد مجلد المنتدى </p><p>اضغط على مجلد المنتدى </p><p>ستفتح لك صفحه اخرى اختر المجلد المطلوب حمايته وهو مجلد المنتدى الذي غيرت اسمه انفا اضغط عليه ستفتح صفحة جديدة </p><p>ضع علامة صح في مربع القفل المغلق ومن ثم اضغط على save</p><p>ارجع لنفس الصفحة بالضغط على زر back</p><p>الان نقوم بوضع اسم مستخدم وباسورد لحماية مجلد الادمين الجديد </p><p>افعل ذالك واحفظ شغلك </p><p>وكرر العمليه مع المجلد القديم الفارغ admincp , modcp</p><p></p><p>وبهذا انتهينا من حماية مجلد الادمين ومجلد دخول المشرفين</p><p></p><p></p><p>2-</p><p>ثغره الهتمل</p><p>بالنسبه للتواقيع</p><p>خيارات المنتدى</p><p>خيارات هوية العضو </p><p>السماح بأكواد الـ HTML في التواقيع</p><p>لا</p><p></p><p></p><p>3-</p><p>خيارات المنتدى</p><p>خيارات الرسائل الخاصة </p><p>السماح بأكواد الـ HTML في الرسائل الخاصة</p><p>لا</p><p></p><p></p><p>4-</p><p>خيارات المنتدى</p><p>خيارات ملاحظات العضو </p><p>السماح بـ HTML في ملاحظات الأعضاء</p><p>لا</p><p></p><p></p><p>5-</p><p>حل ثغره شريط المواضيع</p><p>افتح ملف last10.php</p><p>وببعض الهاكات الاخرى ملف ttlast.php</p><p>ابحث عن</p><p></p><p>$fsel</p><p>$ftitle</p><p>فقط قم بحذفهم من الملف</p><p>وارفعه لمجلد منتداك</p><p></p><p></p><p>6-</p><p>ثغرة ملف التعليمات faq.php </p><p>وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في</p><p>أي دليل داخل السرفر تقع ملفات المنتدى </p><p></p><p>طريقة سد الثغرة</p><p>فتح ملف faq.php وقم بالبحث عن الأسطر التاليه</p><p></p><p></p><p></p><p>كود PHP:</p><p>// initialize some template bits </p><p>$faqbits = ''; </p><p>$faqlinks = ''; </p><p></p><p></p><p></p><p>أضف بعدها مباشرة</p><p></p><p></p><p></p><p>كود PHP:</p><p>$navbits[''] =$vbphrase['faq']; </p><p></p><p>احفظ الملف وارفعه لمجلد منتداك</p><p></p><p></p><p>7-</p><p>ثغرة ملف editpost.php</p><p></p><p>هي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز</p><p>المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه</p><p>ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده</p><p>الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث </p><p></p><p>طريقة سد الثغرة</p><p></p><p>قم بفتح ملف editpost.php وابحث عن السطر التالي</p><p></p><p></p><p>كود PHP:</p><p></p><p>$edit['title'] = trim($_POST['title']); </p><p></p><p></p><p></p><p></p><p></p><p>استبدله بهذا السطر</p><p></p><p></p><p>كود PHP:</p><p></p><p>كود:</p><p></p><p>$edit['title'] = trim(xss_clean($_POST['title'])); </p><p></p><p></p><p></p><p></p><p>احفظ الملف وارفعه لمجلد منتداك</p><p></p><p></p><p>8-</p><p>ثغرة ملف authorize.php</p><p>وهي ثغره من نوع SQL Injection</p><p></p><p>هو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal</p><p>وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل </p><p></p><p>1- ثغرة ملف التعليمات faq.php :</p><p>وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في</p><p>أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) .</p><p></p><p>الترقيع للثغره :</p><p>* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:</p><p>// initialize some template bits</p><p>$faqbits = '';</p><p>$faqlinks = '';</p><p></p><p>*أضف بعدها مايلي:</p><p>$navbits[''] =$vbphrase['faq'];</p><p></p><p>* إحفظ الملف.</p><p></p><p>=================================================</p><p></p><p>2-ثغرة ملف editpost.php :</p><p>وهي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز</p><p>المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه</p><p>ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده</p><p>الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد )</p><p></p><p>الترقيع:</p><p>* قم بفتح ملف editpost.php وابحث عن السطر التالي:</p><p>$edit['title'] = trim($_POST['title']);</p><p></p><p>* استبدله بهذا السطر:</p><p>$edit['title'] = trim(xss_clean($_POST['title']));</p><p></p><p>* احفظ الملف .</p><p></p><p>=================================================</p><p></p><p>3- ثغرة ملف authorize.php:</p><p>وهي ثغره من نوع SQL Injection.</p><p>وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal</p><p>وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل وهنا بعض التفاصيل عن الثغره:</p><p><a href="http://www.securiteam.com/unixfocus/5BP0E15E0M.html">http://www.securiteam.com/unixfocus/5BP0E15E0M.html</a></p><p></p><p></p><p>=================================================</p><p></p><p>4- إذا كانت لوحة تحكم المشرف العام مفتوحه</p><p>للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول</p><p>عن طريق htaccess .</p><p>ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard</p><p>بعدها قم بفتح ملف config.php وابحث عن كلمة admincp وضع بدلاً منها اسمك</p><p>الجديد .</p><p></p><p>5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط .</p><p></p><p></p><p>نقل الموضوع للفائدة من منتديات قراصنة العرب</p><p>عن الاخ عصابة المافيا...</p><p>اتمنى الفائدة لكم</p></blockquote><p></p>
[QUOTE="لمسة إحتراف, post: 65369, member: 457"] كافه الطرق لحمايه منتداك من الاختراق للجيل الثالث vb3 بسم الله الرحمن الرحيم نبداء 1- افتح ملف config.php الموجود تحت مجلدinclude قم بتعديل اسماء المجلدات كالتالى $admincpdir = 'admincp'; (قم بتغير اسم المجلد) $modcpdir = 'modcp'; (قم بتغير اسم المجلد) قم بتغيير اسم مجلد admincp للاسم الذى كتبته بملف الكونفيج الان ارفع ملف الكونفيج انشىء مجلد جديد وسمه admincp وكذالك انشئ مجلد جديد اخر باسم modcp للحمايه اكثر لمجلد الادمين إذا كانت لوحة تحكم المشرف العام مفتوحه للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول عن طريق htaccess . اذهب الى لوحة تحكم الموقع السي بانال واضغط على ايقونه password protect directories بعدها سيظهر لك مجلدات موقعك حدد مجلد المنتدى اضغط على مجلد المنتدى ستفتح لك صفحه اخرى اختر المجلد المطلوب حمايته وهو مجلد المنتدى الذي غيرت اسمه انفا اضغط عليه ستفتح صفحة جديدة ضع علامة صح في مربع القفل المغلق ومن ثم اضغط على save ارجع لنفس الصفحة بالضغط على زر back الان نقوم بوضع اسم مستخدم وباسورد لحماية مجلد الادمين الجديد افعل ذالك واحفظ شغلك وكرر العمليه مع المجلد القديم الفارغ admincp , modcp وبهذا انتهينا من حماية مجلد الادمين ومجلد دخول المشرفين 2- ثغره الهتمل بالنسبه للتواقيع خيارات المنتدى خيارات هوية العضو السماح بأكواد الـ HTML في التواقيع لا 3- خيارات المنتدى خيارات الرسائل الخاصة السماح بأكواد الـ HTML في الرسائل الخاصة لا 4- خيارات المنتدى خيارات ملاحظات العضو السماح بـ HTML في ملاحظات الأعضاء لا 5- حل ثغره شريط المواضيع افتح ملف last10.php وببعض الهاكات الاخرى ملف ttlast.php ابحث عن $fsel $ftitle فقط قم بحذفهم من الملف وارفعه لمجلد منتداك 6- ثغرة ملف التعليمات faq.php وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في أي دليل داخل السرفر تقع ملفات المنتدى طريقة سد الثغرة فتح ملف faq.php وقم بالبحث عن الأسطر التاليه كود PHP: // initialize some template bits $faqbits = ''; $faqlinks = ''; أضف بعدها مباشرة كود PHP: $navbits[''] =$vbphrase['faq']; احفظ الملف وارفعه لمجلد منتداك 7- ثغرة ملف editpost.php هي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث طريقة سد الثغرة قم بفتح ملف editpost.php وابحث عن السطر التالي كود PHP: $edit['title'] = trim($_POST['title']); استبدله بهذا السطر كود PHP: كود: $edit['title'] = trim(xss_clean($_POST['title'])); احفظ الملف وارفعه لمجلد منتداك 8- ثغرة ملف authorize.php وهي ثغره من نوع SQL Injection هو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل 1- ثغرة ملف التعليمات faq.php : وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) . الترقيع للثغره : * افتح ملف faq.php وقم بالبحث عن الأسطر التاليه: // initialize some template bits $faqbits = ''; $faqlinks = ''; *أضف بعدها مايلي: $navbits[''] =$vbphrase['faq']; * إحفظ الملف. ================================================= 2-ثغرة ملف editpost.php : وهي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد ) الترقيع: * قم بفتح ملف editpost.php وابحث عن السطر التالي: $edit['title'] = trim($_POST['title']); * استبدله بهذا السطر: $edit['title'] = trim(xss_clean($_POST['title'])); * احفظ الملف . ================================================= 3- ثغرة ملف authorize.php: وهي ثغره من نوع SQL Injection. وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل وهنا بعض التفاصيل عن الثغره: [url]http://www.securiteam.com/unixfocus/5BP0E15E0M.html[/url] ================================================= 4- إذا كانت لوحة تحكم المشرف العام مفتوحه للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول عن طريق htaccess . ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard بعدها قم بفتح ملف config.php وابحث عن كلمة admincp وضع بدلاً منها اسمك الجديد . 5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط . نقل الموضوع للفائدة من منتديات قراصنة العرب عن الاخ عصابة المافيا... اتمنى الفائدة لكم [/QUOTE]
الإسم
التحقق
رد
الرئيسية
المنتديات
أقسام مخفية
ارشيف البريمي التكنولوجيه والهواتف
,, <font color="#FF0000">البريمي</font> لـ خطط حما
لحماية المواقع والمنتديات وسد الثغرات المكشوفه ( هام )
أعلى
