|
::+::كم قلنا درس متجدد لرجو التثبيت::+::
] أحمي نك الأدمن من التعديل فيه إلا بأذنك..!! [ 3.6.0]  السلام عليكم ورحمة الله وبركاتهـ  تحيه طيب للجميع وبعد:- ===================== تم تجربة هالطريقة على 3.5.0 واليوم تم تجربته على 3.6.0 بنجاح وبدون مشاكل  ======================= كيف تمنع من سرق منتداك من حذف اسمك اذا كنت صاحب الموقع اليك الطريقه إفتح ملف : config.php الموجود بمجلد includes إبحث عن : رمز PHP: $undeletableusers = ''; بين القوسين حط رقم العضوية التي تريد حماياتها مثل رمز PHP: $undeletableusers = '1'; ========================== بعد تطبيق خطوات الشرح لن يستطيع أحد من الذين يدخلون إلى لوحة تحكم المنتدى من تعديل كلمة مرور المدير العام أو تغيير إسم المدير العام أو حذفه أو العبث بمعلوماته بشكل عام ... وإنصح الجميع ممن عينوا اشخاص للدخول إلى لوحة التحكم بتطبيق هذا الشرح فهو في غاية البساطة ولا يأخذ من وقتك سوى ثواني معدودة وبالتالي سكون مطمئنأ من خيانة أو إنقلاب أي مراقب أو نائب المدير ولكن: أنت نفسك ماراح تقدر تعدل بعضويتك من لوحة التحكم المنتدى إلا بعد ماتشيل رقم 1 من الملف يعني تسوي عكس الطريقه [ مثال لما يحدث عند محاولة تعديل أي شيء بالنك  |
طريقة إغلاق أخطر ثغرتين للنسخة الجديدة vb3
ثغرة في ملف editpost.php إفتح الملف وفي أوله بعد<?php أضف الكود التالي $title = addslashes($title); if (strstr($title,"******") != NULL){ echo "hello.. are you hacking us?<br>vBulletin<br>note: use scr!pt"; exit; } ثغرة في ملف sub******ions/authorize.php وطريقة إغلاقها تبحث في الملف authorize.php عن الكود هذا $userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " . TABLE_PREFIX . "user WHERE userid = " . $item_number[1]); وتحذفه وتضع بداله الكود هذا $userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " . TABLE_PREFIX . "user WHERE userid = " .intval( $item_number[1])); بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها : ========================================== 1- ثغرة ملف التعليمات faq.php : وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) . الترقيع للثغره : * افتح ملف faq.php وقم بالبحث عن الأسطر التاليه: // initialize some template bits $faqbits = ''; $faqlinks = ''; أضف بعده الكود التالي $navbits[''] =$vbphrase['faq']; * إحفظ الملف. ========================================== 2-ثغرة ملف editpost.php : وهي ثغره من نوع CrossSite ******ing وهي ثغره عن طريقها يتم سرقة الكوكيز المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد ) الترقيع: * قم بفتح ملف editpost.php وابحث عن السطر التالي: $edit['title'] = trim($_POST['title']); إستبدله بهذا السطر $edit['title'] = trim(xss_clean($_POST['title'])); * احفظ الملف . ========================================== 3- ثغرة ملف authorize.php: وهي ثغره من نوع SQL Injection. وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل وهنا بعض التفاصيل عن الثغره: http://www.securiteam.com/unixfocus/5BP0E15E0M.htm l ========================================== 4- إذا كانت لوحة تحكم المشرف العام مفتوحه للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول عن طريق htaccess . ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard بعدها قم بفتح ملف config.php وابحث عن كلمة admincp وضع بدلاً منها اسمك الجديد . ========================================== 5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط اتمنى ان الشرح اعجبكم السلام عليكم ورحمة الله وبركاته اليوم جايب طرق ترقيع الثغرات في المنتدى النسخه 3,0,3 نبنتدي الشرح... بالنسبه للتطوير لنسخة 3,0,3 فهي أمنه وهذا ملخص لما فيها من ثغرات وطرق ترقيعها : ========================================== 1- ثغرة ملف التعليمات faq.php : وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في أي دليل داخل السرفر تقع ملفات المنتدى ومستواها ( ضعيف ) . الترقيع للثغره : * افتح ملف faq.php وقم بالبحث عن الأسطر التاليه: // initialize some template bits $faqbits = ''; $faqlinks = ''; أضف بعده الكود التالي $navbits[''] =$vbphrase['faq']; * إحفظ الملف. ========================================== 2-ثغرة ملف editpost.php : وهي ثغره من نوع CrossSite ******ing وهي ثغره عن طريقها يتم سرقة الكوكيز المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث . مستواها ( جيد ) الترقيع: * قم بفتح ملف editpost.php وابحث عن السطر التالي: $edit['title'] = trim($_POST['title']); إستبدله بهذا السطر $edit['title'] = trim(xss_clean($_POST['title'])); * احفظ الملف . ========================================== 3- ثغرة ملف authorize.php: وهي ثغره من نوع SQL Injection. وهو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل وهنا بعض التفاصيل عن الثغره: http://www.securiteam.com/unixfocus/5BP0E15E0M.htm l ========================================== 4- إذا كانت لوحة تحكم المشرف العام مفتوحه للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول عن طريق htaccess . ويستحسن تغير اسم مجلد لوحة التحكم إلى أي إسم أخر على سبيل المثال myguard بعدها قم بفتح ملف config.php وابحث عن كلمة admincp وضع بدلاً منها اسمك الجديد . ========================================== 5- لوحة تحكم المراقبين بها ثغرات كثيره أيضاً ويفضل إغلاقها نهائياً عن طريق htaccess ويكتفى عمل المراقبين داخل الساحات فقط اتمنى ان الشرح اعجبكم للعلم جميع النسخ مصابة بهذه الثغرات |
+ طريقة حماية مضمونة الكل يدخل.
config.php هو اخطر ملف بالمنتدى لان يحمل اهم شي في المنتدى لانه في قاعدة البيانات واذا عرفها يقدر يتصل يقاعدة البيانات واظن مالكم الاتشفرون او تغيرون اسم وراح انرل درس عم قريب انشلءالله بسم الله نبداء عن كيفية حماية المواقع/ 1-المستضيف/من المعروف ان الكثير اذا اراد ان يحجز موقعة يدور على الشركات الرخيصة...خطا يااخوان ..اول طريقة ابحث عن مستضيف قوى ومعروف بالحماية ومايحتاج اذكر شىء لانة متوفرات والحمد لله .. 2-كلمة المرور(password) لاتجعل كلمة الباسورد تبع موقعك سهل او رقم تليفونك او اسمك او اسم واحد عزيز عليك لانة يخمن بسهولة!!..اجعلها حروف وارقام ورموز ايضا.. 3- عدم استخدام السكريبتات المجانية فاكثراها مليئة بالثغرات 4-عدم وضع اى نسخة احتياطية كاملة للموقع في أي مجلد من مجلدات السيرفر فى موقعك 5-حماية مجلدات الادمن(admin)بجدار نارى وهذا اهم شىء تقوم بة خصوصا عندما تقوم بتركيب منتدى او اى سكربت ...وساقوم بشرحة هنا ان شاء الله..علما ان شرح حماية المجلدات منقول من الاخ ******* / ادخل السى بانل :www.xxxxxxx.com:2082 او: www.xxxxxxxx.com/cpanel تفتح لك صفحة جديدة أختار منها مجلد المنتدى بالضغط على صورة المجلد وليس أسمه الأن حنا نبي نحمي مجلد الأدمن يعني نضغط على أسم المجلد تفتح لنا صفحة الحماية للمجلدات نقوم بالخطوة الأولى وهي من الجزء العلوي للصفحة ونسجل أسم للنافذه اللي تطلع لتسجيل فيها اليوزر والباسوور ( تقدر تكت أي شي تبيه ) وتأشر على المربع وتضغط على save . بعد ضغطك على save تطلع لك صفحة أضغط منها على للعودة إلى نفس الصفحة السابقة للحماية الأضافيه ومنها نقوم بأخر خطوة وهي في الجزء السفلي من الصفحة لوضع أسم مستخدم وكلمة سر للحماية الأضافية لمجلد الأدمن للمنتدى . وبكذا وضحنا بشكل واضح ان شاء الله كيف تحمى مجلدات موقعك! 6-عدم وضع كلمات المرور في ملف واحد و تضعة في جهازك لانة بسهولة راح يكتشف 7-عدم اعطاء اى شخص الباسورد مهما حصل لانة حدثت حالات اختراق كثيرة بسبب الثقة 7-مايحتاج اقول هالخطوة وهى حماية جهازك من ملفات التجسس لانة بسهولة راح يروح موقعك 8-تغير اسم الادمن لـvb لزيادة الامان لانة اللى يخترق منتداك يقدر يخترق موقعك وهاذى طريقة تغير ملف الادمن لـ الجيل الثالث لان اكثر الشباب مركبينة: أدخل ملف الكوفنق ودور على: $admincpdir = 'admincp'; $modcpdir = 'modcp'; غير admincp الى اى اسم تبية...ولا تنسى تغير اسم المجلد داخل الفتب |
بالتوفيـــ ... ـــق ،،،،
|
بالتوفق للجميع ان شاء الله
|
مشكورين على المرور
|
؟؟؟؟؟؟؟؟؟؟؟؟؟
|
| جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 09:45 PM. |
Powered by vBulletin
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012