31-10-2009, 11:45 PM
|
 |
عضو
|
|
تاريخ التسجيل: Oct 2009
مشاركة: 90
مستوى تقييم العضوية: 15
|
|
|
|
وهذا اللي نتكلم عنه بموضوعنا ... انصحك تقرا الموضوع مره ثانيه قبل الرد
بخصوص مسألة رفع الشيل عبر لوحة تحكم المنتدى هذي انا ما اعتبرها ثغرة ..
لأن الخاصية الهدف منها زرع اكواد برمجية بالأساس يعني من الممكن تلغيمها
مثل لوحة تحكم الـ FTP وغيره ... بس هي بالأساس خاصة بالمدير العام
والوصول لها اختراق بحد ذاته ... والصلاحيات اللي يقدر يسويها الهكر بعد الاختراق هذا
يسمى استغلال اختراق وليس ثغرات .. إلا ان كان هناك ثغرة فعلاً
ولكن نظام البروداكت لايعتبر ثغرة وانما خاصية لها فوائدها ولها اضرارها
الله يعافيك .. نورت يالغلا
تشآآآو
|
|
 |
|
 |
|
انت قلت
في الموضوع
- في حال دخلت منتداك ولقيت صفحة اختراق في المنتدى نفسه فهذا يعني أنه تم اختراقك عن طريق السيرفر !!
لا احد يجيني ويقول لي ثغرة في الاستايل ولا ثغرة هنا ولا ثغرة هناا
تم اختراقك 99% عبر المستضيف .. وذلك ان الهكر رفع ملف شيل على احد المواقع المستضيفه على نفس السيرفر
وقدر يكسر حماية السيرفر ويتخطى الوضع الآمن ومن ثم يوصلك لبيانات كونفيق منتداك
ويسوي اتصال مع قاعدة البيانات عن طريق اي سكريبت متخصص في هذا الشي
ومن ثم يستطيع سرقة عضوية المدير العام كامله ودخول لوحة التحكم
او يختصر على نفسه ويحرر قالب FORUMHOME وينزل اندكس الاختراق أو في قالب header
طبعاً هالاختراق انت مالك دخل فيه لأنك مرقع ثغراتك ومسوي اقوى حماية
ولكن المستضيف اللي انت عليه احتمال 90% يكون مهمل سيرفره فكل واحد يستشير ويسأل
قبل لايختار الاستضافة ..
انتهى كلامك
واذا حقنت شل في لوحة التحكم ما اقدر اغير الاندكس نفسه ليه قلت بان الاختراق
راح يكون من المستضيف 99% والكل يقدر يغير الاندكس بحقن كود هذا سبب اني قلت
لك ذاك الكلام
بعدين انا ما قلت الثغرة واكييد الثغرة بتختلف عن الاستغلال
وفيه طريقة ثانية عن طريق لوحة تحكم المشرفين يفضل حذفها لان مشاكلها وثغراتها كثيرة
النسخة الماسية ماحد راح يلقى فيها ثغرات غير ثغرات الهاكات وملحقات النسخة
بالنسبة للنسخة نفسها ما في الا كوكيز خصوصا بعد ظهورين ثغرتين xss في جميع الاصدرات
وعلى راسها 3.8.4
|