المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : هل تريد أن تحمي منتداك من الأختراق ..



*ريم*
15-03-2008, 01:52 PM
السلام عليكم ورحمة الله وبركاته

نااامل ان يستفاد منه

الهاكرز غالبا يخترقون المنتديات عن طريق المجلدات الرئيسية بالمنتدى مثل

admincp او modcp او install او includes

نعم فعلا يدخلونها بكل سهولة ولا جدار ناري ! فكيف نضع جدار ناري في وجوههم تمنعهم من دخول المجلدات هذه

اليكم الطريقة :

ادخل الى لوحة التحكم بالموقع ، CPanel

اضغط على

Password Protected Directories

ادخل مجلد المنتدى وغالبا يكون VB

سترى الان محتويات المجلد

الان قم بالضغط على المجلد الاتي

admincp

ستظهر لك هذه الرسالة بالصفحة

Folder requires a password to access via [فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]

اشر عليها بعلامة صح او غيرها

Protected Resource Name

في هذه الخانة اكتب PRIVATE

بالاسفل قم باضافة الاشخاص الذين لهم حق الدخول باعطائهم اسماء مخصصة وباسوردات

واضغط add user

بعد الانتهاء

اضعط على save

راح تلاحظ ظهور علامة قفل بالقرب من المجلد

كرر نفس العملية للمجلدات التالية

modcp و install و includes

2- فالنفترض بأن الهاكر كان ماهرا واخترق الجدار الناري ( شبه مستحيل ) اليك الحماية الاخرى

من برنامج الاف تي بي او لوحة تحكم الموقع ادخل على

File Manager

بعدها قم بالضعط على المجلد

admincp

اختر rename this folder

غير اسمه من admincp الى اي شيء آخر

مثال ABCDadmincp

كذلك الحال الى المجلد modcp

الان والمهم بعد التغيير مباشرة وبشكل سريع

افتح ملف config.php

الموجود تحت مجلدinclude

قم بتعديل اسماء المجلدات كالتالى

$admincpdir = 'admincp';

(قم بتغير اسم المجلد الى الذي اخترته بعد اشارة =)

$modcpdir = 'modcp';

(قم بتغير اسم المجلد)

قم بتغيير اسم مجلد admincp للاسم الذى كتبته بملف الكونفيج

الان ارفع ملف الكونفيج من جديد

3- ثغرة الـ HTML

اذهب الى لوحة تحكم المنتدى بعدها الى خيارات المنتدى

VB OPTIONS

بعدها الى User Profile Options

خيارات هوية العضو

السماح بأكواد الـ HTML في التواقيع

لا

خيارات المنتدى

خيارات الرسائل الخاصة

السماح بأكواد الـ HTML في الرسائل الخاصة

خيارات المنتدى

خيارات ملاحظات العضو

السماح بـ HTML في ملاحظات الأعضاء

4- ثغرة شريط اخر المواضيع :

افتح ملف last10.php

وببعض الهاكات الاخرى ملف ttlast.php

ابحث عن

$fsel
$ftitle

فقط قم بحذفهم من الملف

وارفعه لمجلد منتداك

5-ثغرة ملف التعليمات faq.php

وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في

أي دليل داخل السرفر تقع ملفات المنتدى

طريقة سد الثغرة

فتح ملف faq.php وقم بالبحث عن الأسطر التاليه

كود PHP:

// initialize some template bits
$faqbits = '';
$faqlinks = '';

أضف بعدها مباشرة

كود PHP:
$navbits[''] =$vbphrase['faq'];

احفظ الملف وارفعه لمجلد منتداك

6-ثغرة ملف editpost.php

هي ثغره من نوع CrossSite ******ing وهي ثغره عن طريقها يتم سرقة الكوكيز

المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه

ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده

الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث

طريقة سد الثغرة

قم بفتح ملف editpost.php وابحث عن السطر التالي

كود PHP:
$edit['title'] = trim($_POST['title']);

استبدله بهذا السطر

كود PHP:

كود:
$edit['title'] = trim(xss_clean($_POST['title']));

احفظ الملف وارفعه لمجلد منتداك

7-ثغرة ملف authorize.php

وهي ثغره من نوع SQL Injection

هو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal

(قم بحذف الملف نهائيا )

وهذاا وصلى الله على سيدنا محمد

الدمعة الحزينه
15-03-2008, 04:08 PM
مشكورة ريم يسلمو هالايدن اكتير حلو الموضوع ومهم للمنتدى يسملو اكتير تحياتي الك

*ريم*
15-03-2008, 04:22 PM
شكرا كتييييييييير الك يا اسير الحب..

تحياتي الك

الله يعطيك العافية

سفير الغرام
18-03-2008, 10:28 PM
يسلمو علي الموضوع المميز

*ريم*
19-03-2008, 01:32 PM
شكرا الك يا سفير الغرام وعلى مرورك..

الله يعطيك العافية

صدى الايام
23-03-2008, 02:14 PM
يسلمووووووووووووووووو
على المعلومات الهامه

*ريم*
01-04-2008, 12:12 PM
شكرا الك يا صدى وعلى مرورك

يعطيكي العافية

تحياتي الك

bahaqurini
29-04-2008, 05:08 PM
مشكوره ريم انا عملت كل هذا وبضيف عله
اعطي كل ملفات المنتدى التصاريح 555
شفر ملف الكونفج برنامج Zind 5

diya qurini
11-05-2008, 12:33 AM
يسلمو هلايدين ويعطيكي الف عافيه الى الامام يا فيفو

*ريم*
11-05-2008, 10:58 PM
شكرا الك يا بهاء وعلى الاضافه الرائعه منك ...

يعطيك العافية

انشالله أكون وفيت بالموضوع و الشرح ..

نورت صفحتي ...

*ريم*
11-05-2008, 10:59 PM
شكرا كتييييييير الك يا ضياء وعلى مرورك

نورت صفحتي بتواجدك الحلو فيه

يعطيك العافية