السلام عليكم
يتم فتح الملف announcement.php
والتوجه للسطر رقم 403 وهو بهذا الشكل
$postbit_obj =& $postbit_factory->fetch_postbit('announcement');
نقوم بإضافة الأكواد التالية تحته مباشرة
$changesomechars = array('\"','\'','|','(',')',':','&','$',' <','>','"');
$newchars = array('"',''','l','(',')',':','&','$','<', '>','"');
$post[title] = str_replace($changesomechars, $newchars,$post[title]);
$post[title] = strip_tags($post[title]);
انتهينا من ملف announcement.php
-----------------------------------
نتوجه للملف forumdisplay.php
إلى السطر 496 وهو بهذا الشكل
fetch_musername($announcement);
نضيف تحته مباشرة الكود التالي
$changesomechars = array('\"','\'','|','(',')',':','&','$',' <','>','"');
$newchars = array('"',''','l','(',')',':','&','$','<', '>','"');
$announcement['title'] = str_replace($changesomechars, $newchars,$announcement['title']);
$announcement['title'] = strip_tags($announcement['title']);
وبذلك نكون قفلنا ثغرة استغلال عنوان الاعلانات باستخدام أكواد
html
منــــــقــــولـــ للافــــــادة
معـــهد مصــراوى 0777 التعــليمى التــجارى
شـرح قفـل ثـغرة الاعـلانـات
النمط الأُحادي
