|
احمى منتداك من الاختراق بالطرق الفعالة وسد الثغرات
احمى منتداك من الاختراق بالطرق الفعالة وسد الثغرات Protect forum of the penetration in the effective ways الجزء الأول : Part 1 الثغرة الاولى : مجلدات المنتدى الرئيسية غير محمية ( غير مغلقة ) ______________________________ وبالتالى يدخل المخترق إلى هذه المجلدات بمنتهى السهولة حيث انها غير محمية +.+.+.+.+.+.+.+.+.+.+.+.+.+.+ سد الثغرة : عمل جدار نار Fire wall قوى يمنع المخترقين والهاكر - ادخل على لوحة تحكم الموقع Cpanel - اختار Password Protected Directories - ادخل مجلد المنتدى - اختار المجلد الرئيسى admincp - نشط الاختيار directory requires a password to access - قم باضافة الاشخاص اللذين لهم حق الدخول باعطائهم اسماء مخصصة وكلمات سر - اضغط add user وفى النهاية اضغط save - كرر نفس الخطوات على بقية المجلدات الرئيسية الاربعة modcp و install و includes و archive - ملاحظة هامة : فى حالة اقامة المنتدى على موقع مجانى لا يتوفر فيه هذا الاختيار يمكنك ايضا رغما عن ارادة الموقع اغلاق المجلدات الرئيسية كيف ؟ بالدخول على لوحة تحكم الموقع والدخول على Filemanger واختيار الفهرس المطلوب غلقه ثم permissions ثم الغاء التنشيطات الخاصة group وفى بعض السريفرات Public وبالتالى نكون صنعنا جدار نار firewall قوى ضد المخترقين والهاكر ****************************** الثغرة الثانية : تسمية المجلدات الهامة بالاسماء الافتراضية ( التقليدية ) ______________________________ وبالتالى يعرف المخترق اسماء هذه المجلدات بمنتهى السهولة حيث انها الافتراضية +.+.+.+.+.+.+.+.+.+.+.+.+.+.+ سد الثغرة : - ادخل على لوحة تحكم الموقع أو باستخدام برنامج FTP - اختار المجلد admincp ثم اختار rename - غير اسمه مثلا إلى christ - وكرر نفس العملية مع المجلد الهام الاخر modcp - ملاحظة هامة جدا : بعد تغيير الاسم مباشرة وبسرعة افتح ملف config الموجود فى مجلد includes وغير السطر ['admincpdir'] = 'admincp'; ليصبح ['admincpdir'] = 'christ'; وكرر نفس العملية مع المجلد modcp واحفظ التعديلات - خد بالك نفذ التشفير على المجلدين السابقين بالاسماء الجديدة ****************************** الثغرة الثالثة : الكود الافتراضى bb لملف الكونفج config ______________________________ ويالتالى يعثر المخترق على ملف الكونفج بعمل سكان على الكود الافتراضى bb +.+.+.+.+.+.+.+.+.+.+.+.+.+.+ سد الثغرة : - ادخل ملف config وغير السطر ['******prefix'] = 'bb'; ليصبح ['******prefix'] = 'tttzzz'; ****************************** الثغرة الرابعة : ثغرة الكلمات الممنوعة +.+.+.+.+.+.+.+.+.+.+.+.+.+.+ سد الثغرة : - ادخل على لوحة تحكم المنتدى admincp - اختار خيارات المنتدى ثم اختار خيارات المنتدى ثم اختار خيارات الرقابة - نشط تمكين الرقابة واكتب الكلمات الممنوعة c ook c ooki c ookie c ookies C OOK C OOKI C OOKIE C OOKIES خد بالك سيبت مسافة بين c والحرف اللى بعده لظهور الكلمات ****************************** الثغرة الخامسة : ثغرة ملف المتواجدون حاليا online وكذلك memberlist و showgroups +.+.+.+.+.+.+.+.+.+.+.+.+.+.+ سد الثغرة : لم يتم الحصول على ترقيع لها او تحديد لها حتى الان ولذلك تم ابتكار هذه الطريقة الجميلة - افتح ملف index وحدد كل محتواه وانسخه - افتح الملفات الثلاثة online و memberlist و showgroups - امسح كل ما بهم واستبدله بالمحتوى السابق ****************************** الثغرة السادسة : فتح الارشيف أمام محركات البحث +.+.+.+.+.+.+.+.+.+.+.+.+.+.+ سد الثغرة : - ادخل على لوحة تحكم المنتدى ثم خيارات المنتدى ثم خيارات المنتدى - اختار خيارات محرك البحث فى المنتدى واختار لا ****************************** الثغرة السابعة : ثغرة ملف التعليمات faq ______________________________ وهي ثغره من نوع Path Disclosure حيث بواسطتها ييمكن ان يعرف المخترق في أي دليل داخل السرفر تقع ملفات المنتدى +.+.+.+.+.+.+.+.+.+.+.+.+.+.+ سد الثغرة : - افتح ملف faq وابحث عن السطور الاتية initialize some template bits $faqbits = ''; $faqlinks = ''; - بعدها مباشرة ضف الاتى $navbits[''] =$vbphrase['faq']; ملاحظة : فى بعض النسخ الحديثة تجد هذه الثغرة مغلقة ****************************** الثغرة الثامنة : ثغرة الـ HTML +.+.+.+.+.+.+.+.+.+.+.+.+.+.+ سد الثغرة : - ادخل على لوحة تحكم المنتدى ثم خيارات المنتدى - اختار خيارات هوية العضو User Profile Options - السماح بأكواد الـ HTML في التواقيع === لا - اختار خيارات المنتدى ثم خيارات الرسائل الخاصة - السماح بأكواد الـ HTML في الرسائل الخاصة === لا - اختار خيارات المنتدى ثم خيارات خيارات ملاحظات العضو - السماح بـ HTML في ملاحظات الأعضاء === لا ****************************** الثغرة التاسعة : ثغرة شريط اخر المواضيع : +.+.+.+.+.+.+.+.+.+.+.+.+.+.+ سد الثغرة : - افتح ملف last10 وببعض الهاكات الاخرى ملف ttlast وابحث عن $fsel $ftitle خد بالك فقط احذفهم من الملف ****************************** الثغرة العاشرة : اظهار رقم اصدار المنتدى اسفل المنتدى ______________________________ وبالتالى يعرف المخترق الثغرات الموجودة فى نسخة المنتدى وعلشان نخليه يتوه بين النسخ المختلفة +.+.+.+.+.+.+.+.+.+.+.+.+.+.+ سد الثغرة : - ادخل على لوحة تحكم المنتدى ثم البحث فى العبارات وابحث عن Powered by vBulletin Version {1}<br />Copyright ©2000 - {2}, Jelsoft Enterprises Ltd. واستبدله Powered by vBulletin<br />Copyright ©2000 - {2}, Jelsoft Enterprises Ltd ****************************** |
مشكووووووووووووووور على المجهودات الجبارة
|
الله يعطيكم العافية
|
مع أحترامي الشديد لك ولكن هذي ثغرات قديمه
وتم حلها في النسخ الجديده عموماً تشكرات حبيبي عالمجهود :) |
يعطيك مليون عافية ياملك
|
جزاك الله خير
|
الله يعطيك العافية
|
مشكووور وجزاك الله خيرا
|
شكرا جزيلا لكم على الموضوع القيم
|
شرح جميل جداً ما قصرت ربي يطول في عمرك
إمنياتي لك بتوفيق |
احسنت اخي بارك الله فيك
|
شكرا لك اخى الكريم على هذا الشرح المميز
|
| جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 08:53 AM. |
Powered by vBulletin
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012