|
[شرح] : ثغرة SQL في المجموعات في اصدارات vBulletin
بسم الله الرحمن الرحيم السلام عليكم ورحمة الله وبركاته ---- يا أخوان ظهرت ثغرة في سكربت الفيبلوتين - vBulletin الثغرة تعمل على جميع اصدارات الجيل الثالث والرابع درجة خطورة الثغرة 100% لن نتطرق الى استغلال الثغرة وانما لطريقة الحماية منها فكرة الثغرة : الثغرة في ملف المجموعات group.php بمعنى اخر لكي تعمل الثغرة بنجاح لا بد من توفر خاصية المجموعات في سكربت الفي بي رمز Code: http://localhost/vb/groups أو رمز Code: http://localhost/vb/group.php يمكن للمخترق استخراج معلومات قاعدة البيانات - اسمها - اليوزر الخاص بها - وباسوردها أيضا يمكن للمخترق استخراج باس ورد المدير ودخول لوحة تحكم المنتدى من خلال باس ورد الادمن يعني يمكن للمهاجم البحث عن القروبات في ملف Search.php ثم يستخدم أداءة Tamper Data او Http Header عن طريق الفيرفكس بأدوات خاصة في الفيرفكس ومن ثم يحقن أكواد يتظهر المعلومات التي يريدها المخترق ======= الحماية من الثغرة : 1- وضع جدار ناري على مجلد الادمن (هـام) 2- منع مجموعات الاعضاء - والمجموعات التي تريد من خاصية القروبات - وخاصية انشاء قروب خاص http://upload.traidnt.net/upfiles/Yxb99300.jpg 3- الدخول على ملف group.php وجعل محتواه فارغ (حل جذري) ----- احترامي وتحياتي . . أكثر... |
| الساعة الآن 05:14 PM |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
منتديات بلاك بيري
mjawshy.net
المجاوشي للتقنية المتقدمة