|
ثغرة جديدة في دليل نواحي الاصدار 2.1 السلام عليكم ورحمة الله وبركاته في الفترة الاخيرة اكتشفت ثغرة في دليل مواقع نواحي وكان موقعي يتعرض لهجوم عن طريق هذه الثغرة الثغرة ليست الثغرة التي تجلب معلومات الادمن وايضا الثغرة لا يمكن للمخترق ان يضع فيها اندكس اختراق كل اللي بيقدر يسويه هو فقط اضافة مواقع بشكل سريع بدون ادخال بيانات عن الموقع.. يعني المواقع يتم اغراق السكربت بها ولا يحدد لها قسم وهذا بحد ذاته يشكل ضرر على الموقع وهو اولا يضيف مواقع بشكل غير صحيح وبدون تحديد قسم + الاغراق الذي بيحصل للموقع فأنا كان عندي يوميا بمعدل 5 - 10 مواقع مرات تزيد يصيرو 20 لكن من خلال الثغرة كنت اجد كل يوم قريب ال100 موقع وهذي صورة للثغرة http://upload.traidnt.net/upfiles/BWe93807.gif لم احدد بالضبط طريقة تجاوز المخترق لمسألة اختيار القسم لكني وضعت له ترقيع مناسب وبعد الترقيع اختفت كل المشاكل الحمد لله رب العالمين اليكم طريقة التعديل سنعدل على ملفين فقط الاول هو Add.php نفتح الملف نبحث عن رمز PHP: $country = addslashes($_POST['country']); $yourname = addslashes($_POST['yourname']); $yourmail = addslashes($_POST['yourmail']);$cat = $_POST['cat']; $lang = $_POST['lang']; وهو تقريبا عند السطر 130 ثم نضيف بعد الكود اللي اعلى الكود التالي يعني ضيف هذا بعد الكود اللي بحثنا عنه رمز PHP: if($cat=="") { die("يجب ادخال قسم للموقع قبل اعتماد الاضافة"); } الان نيجي للملف الثاني وهو ملف function.php ابحث عن رمز PHP: اضف بعدها مباشرة رمز PHP: اختر القسم المناسب او للي يحب الملفات جاهزة مرفقة في الموضوع انتهى الملفات المرفقة http://www.traidnt.net/vb/images/attach/zip.gif nwahy2.1.zip (11.1 كيلوبايت) |
| الساعة الآن 08:38 AM |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Content Relevant URLs by vBSEO 3.5.2 TranZ By
Almuhajir