الويب العربي - ثغرة xss في الاعلانات وتحويل ترايدنت !!

الويب العربي (http://www.arabwebtalk.com/index.php)

- قسم المنتديات (http://www.arabwebtalk.com/forumdisplay.php?f=112)

- - ثغرة xss في الاعلانات وتحويل ترايدنت !! (http://www.arabwebtalk.com/showthread.php?t=49284)

ثغرة xss في الاعلانات وتحويل ترايدنت !!

هلا و غلا بالشبآب أخبار وعلووم ان شاء الله طيبين وعآل العآل

أكيد أغلبكم لاحظ تحويل ترايدنت لصفحة html واللي مسويها على انها اختراق

وهي ماهيب اختراق ولا شي كلها ثغرة xss وللأسف المخترق ما له خبره بهالثغرات

استخدم التحويل لصفحة html وهذي طرق وأهداف بحته ما تجيب اللب المطلوب

واستغلال ثغرات الـ xss طوويل وفيه ألف استغلال واستغلال لو انه استغله زين

كآن قدر يجيب اندكس الاختراق على المنتدى نفسه !!

الثغره هذي لها فتره أو بالأصح برايفت وما تكلمنا عنها

كانت من اكتشاف أخونا العميد قبل شهرين كلمني فيها بارك الله فيه

ودفنت الثغره على أساس انه لا يوجد أي شخص يعرفها ..

والحين جآآء الوقت اللي نتكلم عنها ولو انها متأخره :-

============================

الثغره : xss In ADS

المطلوب : امتلاك عضوية أحد المراقبين ( سرقتها بمعنى أصح )

الاستغلال :

دخول لوحة تحكم المشرفين modcp واضافة اعلان ووضع كود التحويل بعنوان الاعلان

ورآح يشتغل الكود 100% حتى لو الكلمات ممنوعة ..

وتقدر تستغل ثغرات xss فيها للي يعرفون في هالعالم ..

الترقيع :-

امنع المشرفين من دخول لوحة تحكم المشرفين

أو امنع خاصية الاعلانات عن جميع المشرفين

===============

هذا والله الموفق

أخوكم في الله .. حسين .. أبوو عابد

تشآآآآآآآآآآآآآو

أمممممممممممممم

كلام منطقي

طيب مافي طريقة لحماية عضوية المراقبين بشــكل افضل

بمعنى لو استخدمنا تشفير ارقام المراقبين بطريقة قوية

مع وضع ملف حماية للدخول الى لوحة تحكم المراقبين

بهذي الطريقة مو يمكن حدينا من هذ1 الخطر

وشكرا عزيزي

حيآك الله أخوي بحر الاحساس ما يحتاج امنع خاصية الاعلانات منهم وريح نفسك

مالها داعي أساسا

:)

كفؤ ابو عآبد

يعطيك العافيه ع التنبيه

بارك الله فيك أخي حسين وشكراً لإعلامك لنا (بالرغم من أني لست من مستخدمي الـVB :)) و لكن أرجو أن تسمح لي بسؤال ..
ألم توفر شركة Jelsoft أي ترقيع لهذه الثغرة حتى الآن بدلاً من إغلاق خاصية الإعلانات ؟

تحياتي ,
مصري
نائب المشرف العام

أهلا بك أخي العزيز مصري حيآك الله

الثغره لها شهر نازله بموقعهم وتكلموا عنها بس ما قدروا يقفلوها

لأن الثغره تكمن في القوالب نفسها وليس في ملف الاعلانات

واغلاق الـ html راح يسبب مشكله تعطل المنتدى بالكآمل بما ان أغلب ملفات الاستايل مبرمجه بالـ html

لذلك مالها حل غير هذا ويمكنك مرجعة موقع الشركه لقراءة المزيد ..

بالتوفيق :)

أخوك .. حسين
تشآآآآآآآآآآآو

مشكوووووووووور يا بو عابد

مشكووور جدا يا حسين ولكن زيادة فى المعلومات هل لديك صورة من مشهد تحويل ترايدنت لصفحة اختراق ؟ لانه وبصراحة فاتتنى هذه اللقطة ...

اما عن الثغرة ... فهى فعلا مو جديدة ولكنها خطيرة ولها ترقيع اخر وهو الغاء قدرة المشرفين على حجب الكلمات الممنوعه والتعامل معهم بنفس التعامل مع الاعضاء ..

يعطيكم العافيه.....مايقهروني ألا اللي عادين نفسهم مطورين ومشرفين وتكتشف انهم يعرفونها بس مانزلوها للناس؟ وش نسميه!

يعطيهم العافيه المخترقين نبهو آلاف المنتديات بختراقهم لترايدنت

تشااااااااااو

العفوووو الله يعافيكم يا شبآب حيآكم الله

بالنسبة لك أخوي g--g

طآل عمرك فيه أشياء موب لازم تطلع وفيه نآس يبون يكسبون من وراها أربآح *_^

تشآآآآآآآآآآو

إقتباس:

اقتباس من مشاركة ^*GENIUS*^

وش الفايده؟

تراهم كشفوها وفي ناس تبحث نفس ماانتو تبحثون!!

يعني مردها تنكشف!!! وانكشفت خلاص!!

ترايدنت موقع ذهبي

كم هائل من الدروس ولا يهون الويب

مايحتاج الإختراق وحتى لو كان xss

لكن الشيطان حريص

شكراً حسون :)

بكل مكان أحصلك ماشاء الله عليك :D

حيآكم الله يا شبآب

أخوي خلووودي وهل يخفى القمر *_^

بالنسبة لك أخوي g--g فيه عدة أسباب وانا من الناس اللي أحب أنزل آخر الثغرات وترقيعها

ولكن اللي قال لي الثغره قالها موب للفايده قالها مجرد انه يثق فيني فحب يخبرني فيها

وحلفني ما أتكلم عنها سواء انكشفت ولا ماانكشفت هذا شي ما أتدخل فيه وكل شي مصيره ينكشف

وما يخفى على الله شي ولو كانت الثغره من اكتشافي أقسم بالله ما بخلت فيها عليكم

هذا والله الموفق

تشآآآآآآآآآآآآو

عداك العيب يابعدي ابو عابد

لاهنت