في البداية
ثغرات في المجلدات
admincp و includes و modcp و install
و طريقة ترقيعها
طريقة حماية هذه المجلدات سهلة جدا
من السى بانل نختار هذه الصوره والضغط عليها بالماوس
بعدها سيظهر لك مجلدات الموقع حدد مجلد المنتدى
نقوم بالضغط على صوره المستند
نقوم بالضغط على صوره المستند
ستفتح لك صفحه اخرى اختر المجلد المطلوب حمايته .. المطلوب مثلا
مجلد
install
نقوم بالضغط على الكلمه
ستفتح صفحه نضع صح داخل المربع
بعدها ستظهر صفحه اخرى اضغط جو باك
انزل لاسفل املأ البيانات كما هو موضح بالصوره
تقوم بذلك مع المجلد الجديد للادمن والمجلد القديم الفارغ
أهم شيء احميها باسم
مستخدم و كلمة مرور
و مجلد
install
الأفضل أن تحذفه
بالكامل و عند التطوير تضع مجلد النسخة الجديدة و تسوي
install عادي و هذا
يرجع لك المهم إما حماية مجلد install
أو حذفه و مجلدي
admincp و modcp
إذا كان يمكن
للهاكر تعدي الحماية و اختراقهم فيمكنك
بدلا من أن تحميهم أن
تغير اسمهم إلى أي اسم مثل
ABDFVadmincp
حتى لا يعرف
المخترق امتداد المجلد
و لكن عند تغيير اسم
المجلد يجب أن تذهب لملف
config.php
الموجود داخل
ملجد
include
و تغيير اسمهم
منه أيضا و الطريقة كالتالي
افتح ملف
config.php
و ابحث عن الكود :
$admincpdir
= 'admincp';
و غير اسم admincp إلى الاسم الذي اخترته من قبل للمجلد
و ابحث عن الكود التالي أيضا :
$modcpdir
= 'modcp';
و غير اسم modcp إلى الاسم الذي اخترته من قبل للمجلد
الملفات موجودة بمجلد المنتدى الرئيسي :
قبل التعديل احفظ نسخه احتياطية
الملف الاول ملف أخر 10 مواضيع
إبحث عن
الداله التاليه
$fsel
و الداله التاليه
$ftitle
و إحذفهم
وهم يكونوا فى ملف
ttlast.php
و إن لم تجدهم فيه فستجدهم فى ملف
last10.php
انتهى الترقيع لثغرة اخر 10 مواضيع
ثغرة الرسائل الخاصه:
الترقيع للثغره :
فى ملف
private.php
إبحث عن الكود التالى
// trim the text fields
$pm['title']
= trim($pm['title']);
$pm['message']
= trim($pm['message']);
و إستبدله بالاتى
// trim the text fields
$pm['title']
= trim(xss_clean($pm['title']));
$pm['recipients']
= trim(xss_clean($pm['recipients']));
$pm['message']
= trim($pm['message']);
انتهى الترقيع لثغرة الرسائل الخاصة
3- ثغرة ملف التعليمات
faq.php
الترقيع للثغره :
* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:
// initialize some template bits
$faqbits
= '';
$faqlinks
= '';
أضف بعدها مايلي:
$navbits['']
=$vbphrase['faq'];
أنتهى
الترقيع في ثغرة faq.php
4- ثغرة
memberlist.php
أ- اذهب إلى لوحة
تحكم منتداك
ب- من خيارات
المنتدى اذهب للخيار (قوائم الأعضاء و مشاهدة الهوية)
و قم
بالضغط
على الخيار ( لا
) في أول الصفحة و احفظ العمل
انتهى
ثغرة مركز
رفع الملفات
اولا: الثغرة متواجده في
المراكز التحميل الملفات والهاكات التحميل
بـ المنتديات ال
vb
وغيرة وهـي أمتداد
(3gp)
تمكن المخترق من رفع
shell.php.3gp
وهذه الـشيل:::أختراق الموقع +
احتمال السيرفر بالكامل
وثغرات مركز التحميل بالامتدادات
التالية
rar & jpg & gif & 3gp nEw
يااانك تحذف المركز التحميل
وتفتك او انك تفتح المفكرة :: وتحط فيها هذه الكود
رمز:
RemoveType .php .php3 .phtml
.pl .cgi .rar .jpg .3gp .gif .asp
htaccess
وتـرفعه على نفس مجلد
المركز التحميل من الاف تي بي
FTP
وللعلم
لن تستطيع أن تسمى ملف .htaccess ولكنك
ستجعله htaccess.txt وترفعه بالاف تى بى
وتعيد تسميته الى .htaccess بالاف تى بى
انتهى
ثغرة ملف editpost.php
الترقيع للثغره :
*قم بفتح ملف editpost.php وابحث عن السطر التالي
$edit['title']
= trim($_POST['title']);
وسوف تجدها مرتين
إستبدلهم بالسطر التالى
$edit['title']
= trim(xss_clean($_POST['title']));
انتهى
أيضا
اذا كنت مفعل خاصية الفلاش
بمنتداك قفل هذي الخاصية + خاصية الــ
html
وتلقاها
في خيارات المنتدى واما اي
html
ضع
No
من الثغرات أيضاُ
أخذف صيغة
PSD
من الملفات المرفقة
وإضافة كلمة "cooki" إلى الكلمات الممنوعة
وهانك بعض الكلمات يجب ايضا من حظرها في منتداك موجوده في هذا الملف
اضغط هنا لتحميل الملف