|
06-09-2006 | #1 |
|
بعض الثغرات الأمنية
بسم الله الرحمن الرحيم
1 الهاك / اظهار من قام بتحميل المرفق درجة الخطورة / عالية الملف المصاب / whodownloaded.php نوع الثغرة / SQL Injection عمل الهاك / من قام بتحميل المرفق . بحيث انه يطلع لك اسماء الناس اللي حملو المرفق. الاستغلال / عن طريق استعلام بسيط بواسطة اكسبلويت يظهر باسورد الادمن. الاصدارات المصابة / vBulletin 3.x.x ( أي نسخه قامت بتركيب هذا الهاك هي مصابة ). الترقيع / لم يظهر ترقيع معين ولاكن الأفضل إزالة هذا الهاك بعكس عملية التركيب. 2 الصندوق الماسي الاصدار الرابع المصمم ابوعمر ((بدر)) الدربيل هاك الازرار الاضافية الاصدار الثالت المصمم العندليب هاك الازرار الاضافية الاصدار؟؟؟؟؟ المصمم جريح تحتوي هذه الهاكات على ثغرات من نوع xss تسمح يادراج اكود جافا سكربيت وتمكن الهكرز من سرقة الكوكيز او من خداع المتصفح وسرقة الباس ورد للاعضاء او المشرفين الاكواد التي بها الثغرات في كود تنسيق الشعر الفلاش الريل بلاير والميديا بلاير كود PHP:
الاصدارات المصابه VBulletin VBulletin 3.0.12 VBulletin VBulletin 3.0.10 VBulletin VBulletin 3.0.9 VBulletin VBulletin 3.0.8 VBulletin VBulletin 3.0.7 VBulletin VBulletin 3.0.6 VBulletin VBulletin 3.0.5 VBulletin VBulletin 3.0.4 VBulletin VBulletin 3.0.3 VBulletin VBulletin 3.0.2 VBulletin VBulletin 3.0.1 VBulletin VBulletin 3.0 Gamma VBulletin VBulletin 3.0 beta 7 VBulletin VBulletin 3.0 beta 6 VBulletin VBulletin 3.0 beta 5 VBulletin VBulletin 3.0 beta 4 VBulletin VBulletin 3.0 beta 3 VBulletin VBulletin 3.0 beta 2 VBulletin VBulletin 3.0 VBulletin VBulletin 2.3.3 VBulletin VBulletin 2.3.2 VBulletin VBulletin 2.3 .0 ملاحظة الاصدار VBulletin VBulletin 2.3.4 غير مصاب بالثغرة الحل انا عن نفسي ما افضل وجود التقويم بالمنتدى ماله ذيك الفايدة استبدل محتوى ملف calendar.php بمحتوى ملف index.php وراح تجد بعدها اي شخص يخش التقويم يفتح له الرئيسية. او تقوم بعمل ترقية لإصدارات غير مصابة 4 ثغرة هاك شريط الإهداءات بعد ان قام بتسجيل اهداء عن طريق شريط الإهدائات تسبب في تعديل كود خاص في قاعدة البيانات لاأدري حقيقة كيف وصل لقاعدة البيانات ولجدول session تحديداً كود PHP:
و لمتابعة آخر الثغرات و طرق ترقيعها مجموعة ترايدنت العربية - ركن تطوير منتديـــــvb3.0.0ــات |
|
مواقع النشر (المفضلة) |
الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1) | |
|
|
إن جميع ماينشر في المنتدى من أشعار ومشاركات ماهي إلا نتاج أفكار تمثل رؤية كاتبها فقط ولا تمثل رأي المنتدى
(رأيت الحر يجتنب المخازي.. ويحميه عن الغدر الوفاء.. فلا والله مافي العيش خيرٌ.. ولا الدنيا إذا ذهب الحياءُ)
المشرف العام