|
تسلم ع الطرح الرائع
ياخيو كلامكـ مقنع جدا استفسار بسيط؟ هل يستطيع الهكرز الحصول ع بيانات الاف تي بي عن طريق لوحة التحكم؟ اذا اخترق المنتدى ولم يحصل الهكرز بيانات الاف تي بي اقدر ارجعه ببساطه أليس كذلك؟ |
كلامك روعة يا حسون > > :)
بس اخوي سؤال واحد ، وهو ان استبدال الكوكيز ؟؟ يكون فقط على صفحات المنتدى طيب ليش مايكون في استبدال كوكيز على السي بانل ، ويقدر يدخل كمان عليها ، طبعاً انت ذكرت أن الجدار الناري مهم جداً ، وهذا أمر طبيعي لكن في شي واحد ، ان كوكيز الجدار ؟؟ >> سؤال غريب << هل يوجد كوكيز للجدار تنحفظ في المنتدى أيضاً ،؟؟ لأن على حسب معلوماتي ، ان الكوكيز هي الملفات المؤقتة ، الي تحفظ معلومات تسجيلك وهالكلام الفاضي ، يعني أنا لما بسجل دخول بترك الحفظ للتسجيل قائم عشان لا كل مرة اكتبها واتعذب >> شكلو بينحف اذا كتبها كل مرة :D << ، فهل هذا الكلام موجود فعلياً ؟ وتسلم ايديك يا غالي و الله يجزيك الخير ، |
إقتباس:
جميع ما ذكرت صحيح , الجدار الناري له كوكيز و السي بانل لها كوكيز و المنتدى له كوكيز بعد لكن لسحب نسخة من ملفات الكوكيز بجهازك , لابد يكون سحب من اللي له صلاحية يطلع على الكوكيز يعني مثلاً سكريبت المنتدى ماله صلاحية يطلع على كوكيز الجدار الناري او السي بانل في جهازك لذلك اذا جت ثغرة في المنتدى من نوع XSS تسمح للمخترق بأن يتحكم بالمنتدى لأخذ نسخة من ملفات الكوكيز و إرسالها , فإن ملفات الكوكيز اللي راح ينسخها المنتدى هي ملفات كوكيزه بس اما بقية الملفات ما يقدر يقراها ولا له صلاحية عليها ولا تكون مفعله للمنتدى أساساً لذلك لابد أن يستغل ثغرة xss في السي بانل لسحب كوكيز السي بانل وفعلاً توجد ثغرات xss في السي بانل ( بعض الاصدارات السابقة ) وكان يمكن يستغلها الهكر لسحب بيانات السي بانل :) اذا احتجت توضيحات أكثر أو أشكل عليك شي لا قدر الله , عطنا Replay وابشر بعزك :D حياك تشآآآو |
الأخ الكريم / حسين
تحية طيبة ملؤها التقدير والأحترام ثم إنني أشكرك جزيل الشكر على هذه المعلومات القيمه التي تدل على نقاء سريرتك وعلو همتك ... وبودي سؤالك عن النسخة المرخصه والمشتراه من الشركة المنتجه 3.8.1 هل فيها مما ذكرت شي يجب الحذر منه أو معالجته ... الأمر الأهم ... هل توجهنا الى أفضل الطرق المضمونه لعمل تطوير وتحديث للمنتدى وترقيته وتحديث الهاكات أو إستبدالها وماهي الوسيلة المناسبة للحصول على الهاكات الأصلية والمضمونه والخالية من الثغرات .... وهل هناك جهة موثوق بها في مجال التطوير والتحديث وعمل تنقية وفلترة لملفات المنتدى من التلغيم خصوصاً الملفات الخطرة المتعلقه بالأف تي بي ولوحة تحكم المنتدى .. ونحن نشكر لك طيب تواصلك الأخوي وعطاءك النبيل لحفظ وسلامة أمن المواقع والمنتديات .... |
المرتجز , حياك الله
إقتباس:
اذا عندك ترخيص , تقدر تحمله وترقي مجاناً إقتباس:
بكل بساطه حمل النسخة اللي تبغى ترقي لها , وارفعها على موقعك بمجلد باسم vbnew مثلاً واستبدل الكونفيق للنسخة الجديد بالكونفيق للنسخة السابقة أو انسخ بيانات كونفيق النسخة السابقة وضعها في كونفيق النسخة الجديدة ثم توجه للمنتدى وسوي له إغلاق من خيارات المنتدى وكذلك سوي إيقاف لجميع الخطاطيف HOOKS من خيارات المنتدى وتوجه للرابط التالي لبدء الترقية www.xxx.com/vbnew/install/upgrade.php وأكمل خطوات الترقية بالضغط على Next حتى تنتهي من الترقية , احذف بعدها مجلد install ثم غير اسم مجلد النسخة السابقة ( القديمة ) من vb الى vbold مثلاً وروح لمجلد النسخة الجديدة vbnew وغير اسمه الى vb وبكذا انتهت الترقية والحمد لله لاتنسى تنسخ مجلدات الاستايلات و الصور و ملفات الهاكات اللي ركبتها من النسخة السابقة لمجلد النسخة الجديدة بعد ما تتأكد انك نقلت الأشياء اللي تحتاجها احذف مجلد vbold اما بالنسبة للهاكات , فلايوجد بما يسمى هاكات أصلية لأنها مجرد إضافات يقوم ببرمجتها وتصمميها أي مطور أو أي مبرمج ومصمم وينزلها بالمنتديات ( عمل تطوعي / تطويري ) لذلك مافيه شي محدد , لكن اذا حبيت تختار هاكات فاختار الهاكات المجربة سابقاً و المتعارف عليها بالمنتديات ومعروف أنها لاتسبب الضرر , وتقدر تستخدم قوقل وتكتب اسم الهاكات او تبحث بالمنتديات اللي تستخدمه وتتأكد من سلامته , وكذلك فيه أشخاص معينين لهم برمجيات موثوقة , تجنب الهاكات اللي تنزل من مبرمجين جدد وحاول تاخذ الهاكات من منتديات متخصصة مثل " ترايدنت " , لأن الهاكات يمكن تلغيمها من قبل الهكر إقتباس:
أو تكتب مواصفات تاخذ منها , تأكد من خبرتهم وتمرسهم في المجال من خلال البحث و السؤال وفقنا الله و إياك , :) تشآآآآو |
تسلملي ياغالي ردك كافي ووافي وشافي << بانادول :)
أخي حسن ، بالنسبة لملفات اللغة العربية ، حقيقة هذي تعقدني لما اجي اكتب شروح تلاقي ابسط الكلمات محجوبة ، مثل كونتينت content وحتى كوكيز ايضاً حتى روابط الصور الي تسحبها من المدونات تلاقي فيها اسم مجلد في مسار الصور حق المدونة محجوب فما تقدر تعرض صور من اي مدونة يا ريت لو عندك ملف لغة عربية جيد وخالي من كل هالتشدد تفيدنا فيه ، والله يجزيك الخير اخوي (F) |
إقتباس:
بالنسبة لما ذكرت فماله علاقة باللغة العربية أو التعريب اللي يحجب مثل هذي الأشياء , عندك خيارات المنتدى فيه خيارات الرقابة تحصل مربع فيه الكلمات المحجوبة ، من وجهة نظري مالها داعي إلا ان كنت كثير الاستخدام للهاكات وخاصة الصندوق الماسي تشآآآو |
بارك الله فيك يا اخي
|
جزاك الله الف خيرا
|
انت كلامك بدون خبرة منتدى الفي بي فيه ثغرات عديدة الغريب في كلامك انك قلت ان ما في ثغرة في التقويم مع ان اغلب نسخ الماسية مصابة بثغرة في التقويم http://www.traidnt.net/vb/showthread.php?t=428886 تم تطوير الكوكيز في اخر نسخة من الاصدار الثامن بشكل صعب فك تشفيره وينفك تشفيره بس بيطول معك في عملية االفك بالنسبة انك تقول اذا كانت الصفحة الرئيسية على منتداك تقصد الاندكس راح يكون اختراق من السيرفر طيب انت اعطيني معلومات مدير في احد المنتديات وباسورد لو حة تحكم الادمن والسيرفر يكون ما فيه اللي هذا المنتدى وراح اجيب رااس الروت موافق |
إقتباس:
اقرا الموضوع مرة ثانية .. وروح ادخل منتدى الشركة vBulliten الرئيسي .. فيه التقويم مفتوح روح اخترقه :D ... اما مسألة الروت هذي ماهي اختراع الله يهديك شي طبيعي لو ملكت لوحة تحكم منتدى بتقدر ترفع شيلات .... تتخطى .... الخ وبالأول والأخير .. تخطيك أو امتلاكك لصلاحية الروت هذا اختراق لنظام السيرفر اما الشيئ الآخر .. من هذا المخترق اللي بياخذ روت ويروح قاعدة البيانات ويحط اندكسه بقالب FORUMHOME ؟!! كلها أمر واحد وصقع الاندكس بالمواقع كلها .. انصحك تقرا الموضوع مره ثانيه تشآآآو |
إقتباس:
القديم يترقع يعني معقولة ثغرة تم اكتشافها ما راح تترقع بالثانية لوحة التحكم تبع الفي بي تسمح بحقن شيل عن طريق رفع ملف xml بعدين شغلت تعديل القالب هذه قديمة مثل ثغرة التقويم |
//
الصريح جداً الله يعطيك العافيه على المعلومات الطيبه والي افادتنا افادك الله بخيره وفعلن كسبنا فايده في موضوعك والله لايهينك وبنتظآر جديدك المتجدد // |
إقتباس:
بخصوص مسألة رفع الشيل عبر لوحة تحكم المنتدى هذي انا ما اعتبرها ثغرة .. لأن الخاصية الهدف منها زرع اكواد برمجية بالأساس يعني من الممكن تلغيمها مثل لوحة تحكم الـ FTP وغيره ... بس هي بالأساس خاصة بالمدير العام والوصول لها اختراق بحد ذاته ... والصلاحيات اللي يقدر يسويها الهكر بعد الاختراق هذا يسمى استغلال اختراق وليس ثغرات .. إلا ان كان هناك ثغرة فعلاً ولكن نظام البروداكت لايعتبر ثغرة وانما خاصية لها فوائدها ولها اضرارها إقتباس:
تشآآآو |
إقتباس:
انت قلت في الموضوع - في حال دخلت منتداك ولقيت صفحة اختراق في المنتدى نفسه فهذا يعني أنه تم اختراقك عن طريق السيرفر !! لا احد يجيني ويقول لي ثغرة في الاستايل ولا ثغرة هنا ولا ثغرة هناا تم اختراقك 99% عبر المستضيف .. وذلك ان الهكر رفع ملف شيل على احد المواقع المستضيفه على نفس السيرفر وقدر يكسر حماية السيرفر ويتخطى الوضع الآمن ومن ثم يوصلك لبيانات كونفيق منتداك ويسوي اتصال مع قاعدة البيانات عن طريق اي سكريبت متخصص في هذا الشي ومن ثم يستطيع سرقة عضوية المدير العام كامله ودخول لوحة التحكم او يختصر على نفسه ويحرر قالب FORUMHOME وينزل اندكس الاختراق أو في قالب header طبعاً هالاختراق انت مالك دخل فيه لأنك مرقع ثغراتك ومسوي اقوى حماية ولكن المستضيف اللي انت عليه احتمال 90% يكون مهمل سيرفره فكل واحد يستشير ويسأل قبل لايختار الاستضافة .. انتهى كلامك واذا حقنت شل في لوحة التحكم ما اقدر اغير الاندكس نفسه ليه قلت بان الاختراق راح يكون من المستضيف 99% والكل يقدر يغير الاندكس بحقن كود هذا سبب اني قلت لك ذاك الكلام بعدين انا ما قلت الثغرة واكييد الثغرة بتختلف عن الاستغلال وفيه طريقة ثانية عن طريق لوحة تحكم المشرفين يفضل حذفها لان مشاكلها وثغراتها كثيرة النسخة الماسية ماحد راح يلقى فيها ثغرات غير ثغرات الهاكات وملحقات النسخة بالنسبة للنسخة نفسها ما في الا كوكيز خصوصا بعد ظهورين ثغرتين xss في جميع الاصدرات وعلى راسها 3.8.4 |
إقتباس:
ولا مانع من وجود نسبة 1 % من بعض الأشياء اللي ذكرتها اللي قد تكون ثغرة في سكريبت مرفق وليس في المنتدى .. اما مسألة الـ xss .. هذي ما توصلك للـ FORUMHOME أو حتى تحقنه بشي أكوادها معروفه وشرحتها بالخطوة اللي تحتها .. استغلالاتها الثانية بعيدة عن الـ FORUMHOME توصل لاندكس بالصفحة الرئيسية .. وكذا بعدنا مره ثانيه شي آخر .. الـ xss اللي تتكلم عنه في نسخ المنتدى وخاصة النسخة اللي ذكرتها xss محدود ... استغلاله على قده مثال ثغرة الملف الشخصي بالاصدار اللي حطيته روح استغله وشوف محدودية الاستغلال .... في الموضوع هذا انا اتكلم عن نطاق كبير يعتمد على الاختراق العشوائي وعطيته نسب الاختراق وعطيت أساليب الحماية منها .. : ) تشآآآو |
إقتباس:
xss توصلني ليوزر وبااس الادمن ياعسل عن طريق سحب الكوكيز بوضع صورة محقون فيها كود والكودبدوره يحوله على صفحة تسحب الكويز اتمنى فهمت هع تقدر تطور الاستغلال باختراق جاهز الادمن xss متعددة الاستغلال كل شخص يطور اي ثغرة بطريقته الخاصة وبعدين فيه ثلاثة ثغرات xss اللي في الملف الشخصي وثغرة ثانية وثالثة طيب لو كانت محدودة شو رايك ارسل رسالة خاصة للادمن وابله بوجود مشكلة في ملف الشخصي واعطيه الرابط مستحييل ما يدخل <<وعاد انت واسلوبك وهندسة الاجتماعية في الهكر الثغرات تتطور وكل هكر يتسغلها بطريقته xss توصلنا للسي بنل تبع الموقع شو ا بي اكثر الهكر تطور انت اسلوبك كلاسيك ضروري تتابع مواقع الهكر تشاااو,,,<<عديتني |
إقتباس:
وتاريخ كتابة الموضوع من عام 2006 , يعني أساليبك المتطورة على قولك عرفناها قبلك بـ 4 سنين :D بعض الناس ما تدري وش تبي .. فيه ناس تفهم من المواضيع من مره وفيه ناس مهما تفهم فيها وتقرا مره ثانيه وثالثه ...... مافيه ارسال :D تشآآآو |
إقتباس:
ما شفت التاريخ!!!!!!! واحد صفر لك نتقابل بموضوع ثانية |
تسلم اخي علي المعلومات المفيدة
واللة يوفقك |
| جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 08:25 AM. |
Powered by vBulletin
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012