|
#1
05-26-2011
|
||||
|
||||
[شرح] : ثغرة SQL في المجموعات في اصدارات vBulletin
بسم الله الرحمن الرحيم السلام عليكم ورحمة الله وبركاته ---- يا أخوان ظهرت ثغرة في سكربت الفيبلوتين - vBulletin الثغرة تعمل على جميع اصدارات الجيل الثالث والرابع درجة خطورة الثغرة 100% لن نتطرق الى استغلال الثغرة وانما لطريقة الحماية منها فكرة الثغرة : الثغرة في ملف المجموعات group.php بمعنى اخر لكي تعمل الثغرة بنجاح لا بد من توفر خاصية المجموعات في سكربت الفي بي رمز Code: http://localhost/vb/groups أو رمز Code: http://localhost/vb/group.php يمكن للمخترق استخراج معلومات قاعدة البيانات - اسمها - اليوزر الخاص بها - وباسوردها أيضا يمكن للمخترق استخراج باس ورد المدير ودخول لوحة تحكم المنتدى من خلال باس ورد الادمن يعني يمكن للمهاجم البحث عن القروبات في ملف Search.php ثم يستخدم أداءة Tamper Data او Http Header عن طريق الفيرفكس بأدوات خاصة في الفيرفكس ومن ثم يحقن أكواد يتظهر المعلومات التي يريدها المخترق ======= الحماية من الثغرة : 1- وضع جدار ناري على مجلد الادمن (هـام) 2- منع مجموعات الاعضاء - والمجموعات التي تريد من خاصية القروبات - وخاصية انشاء قروب خاص  3- الدخول على ملف group.php وجعل محتواه فارغ (حل جذري) ----- احترامي وتحياتي . . أكثر... |
| مواقع النشر (المفضلة) |
|
|
المواضيع المتشابهه
|
||||
| الموضوع | كاتب الموضوع | المنتدى | مشاركات | آخر مشاركة |
| [ مزاد ] : vbulletin.im | RSS | Arabic Rss | 0 | 05-25-2011 05:55 PM |
| [ طلب كود ] مطلوب كود من موقع vbulletin.org | RSS | Arabic Rss | 0 | 05-19-2011 05:13 PM |
| [ طلب كود ] الوان المجموعات | RSS | Arabic Rss | 0 | 05-14-2011 03:41 PM |
| خبــر vBulletin [vBulletin Mobile Suite] | RSS | Arabic Rss | 0 | 05-05-2011 08:32 PM |
| 14 اصدار من افضل اصدارات اللعبة الممتعة Zuma و 3 اصدارات للعبة Magic B Magic Ball | RSS | Arabic Rss | 0 | 04-30-2011 12:33 PM |
|
|
العرض الشجري