الويب العربي

الويب العربي (http://www.arabwebtalk.com/index.php)
-   أمن المعلومات (http://www.arabwebtalk.com/forumdisplay.php?f=13)
-   -   [ترقيع] للنسخه 3.8.4 | pl1 (http://www.arabwebtalk.com/showthread.php?t=123849)

مصطفى 10-10-2009 03:22 PM
[ترقيع] للنسخه 3.8.4 | pl1
 
بسم الله الرحمن الرحيم

حسب ما ذكرت شركة vbulletin أنه تم اكتشاف ثغرة xss جديدة
الثغرة موجودة في كل النسخ
الترقيع كالآتي:

في الملف class_dm.php الموجود في مجلد includes

ابحث عن:
كود PHP:
                       function verify_link(&$link


استبدلها بـ:


كود PHP:
                       function verify_link(&$link$strict false

أيضاً ابحث عن:

كود PHP:
else if (!preg_match('#^[a-z0-9]+://#si'$link)) 
        { 
            // link doesn't match the http://-style format in the beginning -- possible attempted exploit 
            return false
        } 

أضف أسفلها:

كود PHP:
else if ($strict && !preg_match('#^(http|https)://#si'$link)) 
        { 
            // link that doesn't start with http:// or https:// should not be allowed in certain places (IE: profile homepage) 
            return false
        } 

احفظ الملف


افتح الملف class_dm_user.php الموجود في ملف includes

ابحث عن:

كود PHP:
                       return (empty($homepage)) ? true $this->verify_link($homepage); 

استبدلها بـ:


كود PHP:
                       return (empty($homepage)) ? true $this->verify_link($homepagetrue); 

احفظ الملف..

حتى تعرف أنك قمت بالترقيع قم بفتح الملف version_vbulletin.php الموجود أيضاً في includes

واستبدل جميع محتوياته بـ:
كود PHP:
<?php 

define('FILE_VERSION_VBULLETIN''3.8.4 Patch Level 1'); 

?>

مع تمنياتي لكم بقضاء أجمل الأوقات

الله يحفظكم

ملحوظه
الموضوع هام والثغره خطره وتستغل اسوء استغلال
نرجو الترقيع للثغره

momaiaz 12-10-2009 01:52 PM
يعطيك العافية على الشرح المميز للترقيع








ارض عقار عمارة اراضي استراحة شقة شقق قرض عقاري تمويل عقارات

مصطفى 12-10-2009 02:24 PM
الله يعافيك اخى هلا بك

ينبع هوست 12-10-2009 04:20 PM
شكرا لك

الثغرات في النسخ vBulletin 3.8.4 / 3.7.6 / 3.6.12

T®oY 15-10-2009 10:54 PM
من الافضل عند ترقيع اكواد function وضعه بكامله
بدايه من
كود PHP:
function ( هنا المتغير
{

// هنا الكود بالكامل 

 }  // الى نهايه الكود باغلاقه 
وليس جزء منها

كما موجود هنا

كود PHP:
 function verify_link(&$link
حتى يكون التعديل صحيح ومرتب

وهذا عند عمل اى تعديل على اكواد php مراعاه ذلك

والله الموفق ,,
تحياتى
TroY

7elmk.com 18-03-2010 09:39 AM
مشكوووووووووووووووووووووو ووور

amribrahim2000 18-03-2010 11:01 AM
اللهم صلى على سيدنا محمد
صلى الله عليه وسلم

mr.7abeb 04-07-2010 09:42 PM
مشكوووووووووووووووووووووو وووور


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 11:09 AM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012