بحث متقدم | التسجيل
الويب العربي
  تسجيل دخول
 
   
   

  ملاحظة
الموقع متاح للإطلاع والقراءة فقط، المشاركة والمواضيع الجديدة غير متاحة حالياً لحين تطوير الموقع.




الموقع متاح للإطلاع والقراءة فقط، المشاركة والمواضيع الجديدة غير متاحة حالياً لحين تطوير الموقع.

عـودة للخلف   الويب العربي المركز التعليمي المجاني أمن المعلومات

أمن المعلومات مقالات, أخبار, مواضيع حول أمن المعلومات, وحماية أنظمة التشغيل, الشبكات, المواقع, البيانات السرية.

موضوع مغلق اضف موضوع جديد
 
خيارات الموضوع طريقة العرض
  #1  
قديم 06-10-2009, 06:54 PM
runvirus runvirus غير متصل
عضو
 
تاريخ التسجيل: May 2006
مشاركة: 27
مستوى تقييم العضوية: 0
runvirus is on a distinguished road
الافتراضي تقرير عن مستوي الأمني في سكرب منتديات PBBoard ( الجزاء الاول )

الكاتب : rUnViRuS
الموقع : www.Sec-Area.com
موضوع : تقرير عن مستوي الأمني في PBBoard ( الجزاء الاول )
المصدر : http://www.sec-area.com/?p=143


ملحوظه جميع هذه الثغرات المذكوره في التقرير تم ابلاغ فريق عمل PBBoard وتم سد جميع الثغرات المذكوره علي الفور

ومن لم يقم بترقيع الثغرات عليه الذهب الي الموقع الرسمي

http://www.pbboard.com/forums/index.php

وتحميل التحديثات الامنيه

تبداء التقرير :

عندا الزيارة الأولى لموقع PBBoard اعجبني مشروع المنتدى ومع قليل من الدعم سوف يصبح واسع الانتشار وكان لي هدف من الزياره هي فحص المستوى الأمني للمشروع

قمت بتحميل الاسكربت الاصدار 2.0.2 وتم التركيب علي السيرفر المحلي وبداء عمليه الاختبار

في أول تجربه ظهر لي خطاء في ملف common.php في السطر 193 هو خطاء ليس بمشكله كبيره الخطاء هذه يسمي ثغره (Path Disclosure ) وهي ثغره تعرض مكان الموقع موجود بأي مكان على السيرفر و علي الفور تم تصحيح هذه الخطاء


كود:
Fatal error: Call to undefined method PowerBBLocalCommon::error() in /home/xxx/public_html/vb/common.php on line 193


ولكن العجيب ان هذه الخطاء كان في كود حمايه لمنع ثغرات sql injection
كود:
// Check if $_GET don't value any SQL Injection
foreach ($PowerBB->_GET as $sql_get)
{
if ((eregi("select", $sql_get)) or
(eregi("union", $sql_get)) or
(eregi("%", $sql_get)))
{
$this->error('ظ‚ظ…طھ ط¨ط¹ظ…ظ„ظٹظ‡ ط؛ظٹط± ظ…ط´ط±ظˆط¹ظ‡!');
}
}
واذا كان لديك نسخه لم تقم بترقيع الثغره بها يمكن التجربه من هنا مع تغير ما يلزم
كود:
http://www.[xxxxx].com/path/index.php?page=new_topic&index=1&id=union
وهذا كانت هذه الثغره الاولي وبعد ذالك قمت بالتحقق من نظام البحدث وتم اكتشاف ثغره ايضا" من نفس النوع السابق (Path Disclosure )
وهي كانت في ملف template.class.php السطر 99 و السطر 146 و علي الفور تم تصحيح هذه الخطاء

كود:
Warning: filesize() [function.filesize]: stat failed for show_msg in /home/xxxxx/public_html/vb/includes/template.class.php on line 99

Fatal error: ERROR::FILE_SIZE_IS_ZERO in /home/xxxxx/public_html/vb/includes/template.class.php on line 146
المشكله كانت عباره عن واضع اي كونت XSS داخل البحث يظهر الخطاء علي طول
كود:
http://www.[xxxx].com/[path]/index.php?page=search&start=1&keyword=<script>§ion=all&search=1

الثغره الثالثه وهي كانت بالنسبه لي كعلامه !!!!!!!! فهي في نظام الملفات المرفقه فالمخترق يمكن بهذه الثغره حذف اي الملفات مرفق في اي موضوع او تعديل االملفات المرفقه وتم سد هذه الثغره ولكن علي فريق العمل علي تحسين نظام الملفات المرفقه اكثر

واذا كان لديك نسخه لم تقم بترقيع الثغره بها يمكن التجربه من هنا مع تغير ما يلزم

كود:
http://www.[xxxx].com/[path]/index.php?page=attachments&delete_attach_subject=[subject id]&id=[attach id]&subject_id=[ topic id]
الثغره الرابعه :
وهي الاخطر علي الاطلاق من نوع XSS ولها اكثر من شكل للاستغلال وهي في نظام المواضيع اذا قام المخترق بعمل موضوع جديد ثم ادخل كود XSS في عنوان الموضوع و نشر الموضوع
سوف يعمل الكود ادخل المنتدي

وتم سد الثغره ولكن هناك زيول لها في اكثر من مكان سوف اقوم بمناقشه فريق عمل pbboard مره اخري لان ليس الحل الافضل هو من منع كلمات معينه فالمخترق يقدر يتخطي هذه العمليه بسهوله انتهي تقرير اليوم لنا عوده قريبا' ان شاء الله

للحمايه معني واحد
Sec-Area.com





  #2  
قديم 06-10-2009, 10:22 PM
ksalayer.net ksalayer.net غير متصل
عضو
 
تاريخ التسجيل: Jun 2009
مشاركة: 64
مستوى تقييم العضوية: 15
ksalayer.net is on a distinguished road
الافتراضي

لاهنت غلاي






التوقيع
إسم الشركة : السعودية لاير لخدمات وحلول الويب
دومين الموقع: http://www.ksalayer.net ,com ,org
مالك الموقــع: علي زهير آل خليفة
المقـــــــــــر: المملكة العربية السعودية
بريد الشركة : admin@ksalayer.net
الدعم الفني: http://www.ksalayer.net/support
رقم الهاتـف : 00966535088397
  #3  
قديم 07-10-2009, 05:11 AM
الصورة الشخصية لـ احمد فرج
احمد فرج احمد فرج غير متصل
عضو
 
تاريخ التسجيل: Feb 2009
مشاركة: 187
مستوى تقييم العضوية: 16
احمد فرج is on a distinguished road
إرسال رسالة عبر MSN إلى احمد فرج
الافتراضي

مشكور عزيزى






التوقيع
اللهم اغفر لي ولوالدى وللمؤمنين والمؤمنات يوم يقوم الحساب
  #4  
قديم 18-03-2010, 09:38 AM
7elmk.com 7elmk.com غير متصل
عضو
 
تاريخ التسجيل: Feb 2010
مشاركة: 66
مستوى تقييم العضوية: 15
7elmk.com is on a distinguished road
الافتراضي

مشكوووووووووووووووووووووو ووور






التوقيع
شات حلمك
شات
لينك الموقع : http://www.7elmk.com
  #5  
قديم 18-03-2010, 11:03 AM
amribrahim2000 amribrahim2000 غير متصل
عضو
 
تاريخ التسجيل: Dec 2009
مشاركة: 168
مستوى تقييم العضوية: 15
amribrahim2000 is on a distinguished road
الافتراضي

اللهم صلى على سيدنا محمد
صلى الله عليه وسلم






التوقيع
اللهم أغفر لى
  #6  
قديم 03-04-2010, 06:25 AM
stuv281 stuv281 غير متصل
عضوية مغلقة
 
تاريخ التسجيل: Mar 2010
مشاركة: 40
مستوى تقييم العضوية: 0
stuv281 is on a distinguished road
Question Letters On Chest

A girl goes into the doctor's office for a checkup. As she takes off her blouse, he notices a red 'H' on her chest. "How did you get that mark on your chest?" asks the doctor. "Oh, my boyfriend went to Harvard and he's so proud of it he never takes off his Harvard sweatshirt, even when we make love," she replies.Rolex MilgaussRolex PrinceRolex Sea DwellerA couple of days later, another girl comes in for a checkup. As she takes off her blouse, he notices a blue 'Y' on her chest. "How did you get that mark on your chest?" asks the doctor. "Oh, my boyfriend went to Yale and he's so proud of it that he never takes off his Yale sweatshirt, even when we make love," she replies.A couple of days later, another girl comes in for a checkup. As she takes off her blouse, he notices a green 'M' on her chest. "Do you have a boyfriend at Michigan?" asks the doctor. "No, but I have a girlfriend at Wisconsin, Why do you ask?"





  #7  
قديم 04-07-2010, 09:16 PM
mr.7abeb mr.7abeb غير متصل
عضوية مغلقة
 
تاريخ التسجيل: Mar 2008
مشاركة: 224
مستوى تقييم العضوية: 0
mr.7abeb is on a distinguished road
الافتراضي

مشكوووووووووووووووووووووو وووور





  #8  
قديم 22-08-2010, 08:01 AM
gulfprovider.com gulfprovider.com غير متصل
عضو
 
تاريخ التسجيل: Jun 2010
مشاركة: 55
مستوى تقييم العضوية: 14
gulfprovider.com is on a distinguished road
الافتراضي

يعطيك العافيه على الشرح الرائع اخي العزيز ..





موضوع مغلق



خيارات الموضوع
طريقة العرض

قوانين المشاركة
لا يمكنك إضافة موضوع جديد
لا يمكنك الرد على المواضيع
لا يمكنك إضافة مرفقات
لا يمكنك تعديل مشاركاتك

كود vB متاح
كود [IMG] متاح
كود HTML مغلق
إنتقل إلى

مواضيع مشابهة
الموضوع الكاتب القسم مشاركة آخر مشاركة
تعريب سكربت سلة التسوق OpenCart الجزاء الثاني وضبط الاستايل للغة العربية alfnydesign.com برامج المجلات الالكترونية 0 13-09-2009 06:55 PM
النظام الأمني يا ابعاد لا يجعلني أتصفح وأستفيد من هذا القسم موفن مجتمع ديموفنف 1 10-03-2009 09:43 PM
الجزاء الاول : تعال شوف شركة spslink.net شنو سوت فيني بعد saoud طلبات البرمجة والتصميم والتطوير 33 15-11-2008 05:31 AM
منتديات الدهب الاول ترحب بكم idream10 التبادل الإعلاني وأدلة المواقع 2 20-02-2008 02:41 AM
تبادل اعلاني في منتديات رجه الاول رج رج أخبار المواقع 1 10-06-2007 03:45 AM


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 06:43 PM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


 
 »  خدمات البرمجة   »  رئيسية الدليل
  »  خدمات التصميم   »  الأمن والحماية
  »  الدعاية والتسويق
  »  الدعم والتطوير
  »  الشركات الرسمية
  »  حجز دومينات
  »  خدمات الإستضافة
 
 
  »  مكتبة الإستايلات   »  رئيسية المكتبة
  »  أكواد برمجية   »  أدوات الويب ماسترز
  »  مكتبة الهاكات   »  أدوات المصممين
  »  سكربتات متنوعة
  »  مجلات إلكترونية
  »  بلوكات متنوعة
  »  ثيمات مختلفة
 
 

صحيفة متخصصة في متابعة أخبار وجديد الإنترنت العربي
والحوارات الصحفية ومعلومات تقنية متنوعة .

   
 
 

للتواصل مع فريق عمل الويب العربي
يمكنك ذالك من خلال مركز الدعم والمساندة.

 الدعم الفني |  اعتماد العضويات |  قوانين الإنتساب |  إتفاقية الإستخدام |  أهداف الويب العربي |  دليل الشركات |  مكتبة الويب |  صحيفة الويب العربي |  الرئيسية