أمن وحماية منتديات ..vBulletin Security

من برنامج الاف تي بي او لوحة تحكم الموقع ادخل
بعدها قم بالضعط على المجلد

اكو فولدر بل سي بنل اسمه


admincp

غير اسمه من admincp الى اي شيء آخر

مثال ABCDadmincp
كذلك الحال الى المجلد modcp
الان والمهم بعد التغيير مباشرة وبشكل سريع
افتح ملف

config.php

الموجود تحت مجلدinclude

قم بتعديل اسماء المجلدات كالتالى
$

admincpdir = 'admincp';

(قم بتغير اسم المجلد الى الذي اخترته بعد اشارة =)

$

modcpdir = 'modcp';

(قم بتغير اسم المجلد)

قم بتغيير اسم مجلد

admincp للاسم الذى كتبته بملف الكونفيج

الان ارفع ملف الكونفيج من جديد


*************

ثغرة الـ HTML

اذهب الى لوحة تحكم المنتدى بعدها الى خيارات المنتدى

بعدها الى

User ProfileOptions

خيارات هوية العضو

السماح بأكواد الـ

HTML في التواقيع

لا

خيارات المنتدى
خيارات الرسائل الخاصة
السماح بأكواد الـ

HTML في الرسائل الخاصة

خيارات المنتدى

خيارات ملاحظات العضو
السماح بـ

HTML في ملاحظات الأعضاء

واني افضل حتى ملاحضات العضو تلغيهه

*************


ثغرة شريط اخر المواضيع :

افتح ملف last10.php
وببعض الهاكات الاخرى ملف ttlast.php
ابحث عن
$

fsel

$ftitle

فقط قم بحذفهم من الملف
وارفعه لمجلد منتداك*************


ثغرة ملف التعليمات faq.php

وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى
طريقة سد الثغرة
فتح ملف

faq.php وقم بالبحث عن الأسطر التاليه

كود PHP:

// initialize sometemplate bits
$faqbits = '';
$faqlinks = '';
أضف بعدها مباشرة
كود

PHP:

$navbits[''] =$vbphrase['faq'];

احفظ الملف وارفعه لمجلد منتداك

*************


ثغرة ملف editpost.php

هي ثغره من نوع CrossSite *l*l*l*l*l*ling وهي ثغره عن طريقها يتم سرقة ال*l*l*l*lز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بال*l*l*l*lز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق ال*l*l*l*lز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث
طريقة سد الثغرة
قم بفتح ملف

editpost.php وابحث عن السطر التالي


كود PHP:


$edit['title'] = trim($_POST['title']);
استبدله بهذا السطر

كود

PHP:

كود:

$

edit['title'] = trim(xss_clean($_POST['title']));

احفظ الملف وارفعه لمجلد منتداك

urdomin/vb/
*************




ثغرة ملف authorize.php

وهي ثغره من نوع SQL Injection
هو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
(قم بحذف الملف نهائيا )
"مو تعدل وترفع مسحه عيني انت"*************

ثغرة في ملف editpost.php

إفتح الملف وفي أوله بعد

sorry member page is not available at themoment

واحفظ الملف
ورفعه لمكانه
*************

قم بفتح ملف calendar.php
وامسح جميع محتوياته وضع الكود التالي
*

l*l*l*l*l*l *l*l*l*l*l*l*l*l*l*l="*l*l*l*l*l*l*l-Language" *l*l*l*l*l*l*l="en-us">

sorry calendar page is not available atthe moment

واحفظ الملف

ورفعه لمكانه

*************




افتح ملف الكونفيق الي في منتداك config.php في مجلد includes

// Prefix that allvBulletin *****es will have
// For example
$*****eprefix = 'bb';
غير الحرف bb
الى اي حروف اتريدها

المهم غير bb
واحفظ الملف



ورد ارفعه اكيد
*************



ثغرة محرك البحث

استبدل الملف التالي


بالملف المرفق باسم (

functions_search.php)

ملاحظه قم بفك الضغط عن الملف السابق


*************

ثغرة الصندوق السحري


قم بالذهاب الى لوحة تحكم المنتدى بعدها الى خيارات الاكواد

قم بمسح كود الـ

FLASH

كذلك الحال الى كود التنسيق الشعر قم بحذفه وحذف جميع ملفاته في الفايل منجر

فهو مملوء بالثغرات
(( اذا كان نسخه المنتدى مالتكم بل عربي خوش؟ ))


*************


حل ثغرة مركز التحميل

افتح ملف uploader.php
ابحث عن :
$

type = explode("." ,$file_****);

استبدله بـ :

$

type = explode("." ,$file_****,2);

احفظ الملف



*************


اذهب الى مجلد includes
قم باعادة تحميل ملف init.php
ملاحظة : الملف مرفق بالموضوع

للاهمية عدد الثغرات اكثر من 15 ثغرة لكن مسح بعض الملفات قلصت العدد وهذا ما ننصح به!