عاشق الحب
08-12-2007, 07:29 AM
ترقيع] في ملف newthread.php للنسخ vB3.5.x و vB3.6.x
السلام عليكم ورحمه الله
درجة خطورة الثغره : عاليه
النسخ المصابه : vB3.5.xو vB3.6.x
المكتشف : FLASHYAN
المصدر : xxxxxxxxx
هناك ثغرة لااعلم مدى حداثتها
اصيب موقعي بإختراق وكل مايدل على هذا الاختراق انه عن طريق التمبلت Forumhome
الى ان نبهني الاخ العجيب ( ابو الحسن ) بوجود META TAG في احد المواضيع وبالطبع سوف تظهر المواضيع الاخير في اي قسم في جدول اخر المشاركات في الصفحة الرئيسية بالمنتدى
الكود الذي تم استخدامه في موقعي هوا للتحويل الذاتي لموقع المخترق
لن اذكر الكود منعا لإنتشارة
الترقيع :
عن طريق ملف newthread.php الموجود في مجلد المنتدى الرئيسي
والتعديل هنا لكي نمنع ال <TAG> من الظهور في عنواين المواضيع
اولا قم بأخذ نسخه احتياطيه من الملف newthread.php
قم بفتح الملف newthread.php
وابحث عن :
رمز PHP:
$newpost['title'] =& $vbulletin->GPC['subject'];
إستبدلها بـ :
رمز PHP:
$newpost['title'] =htmlspecialchars_uni(& $vbulletin->GPC['subject']);
// $newpost['title'] =& $vbulletin->GPC['subject'];
وهنا قمنا بإيقاف السطر القديم واضافة الجديد المعدل
تمت التجربه على النسخه 3.5.4 و النسخه 3.6.0 تحمل نفس الخطأ في النسخه السابقه
الملف الجاهز المعدل للنسحه 3.5.4 في المرفقات وانتبهو ترا نسختي مرخصه اخاف يكون في الملف اكواد تبليغ ولا شي تراني ماافهم في ذي السوالف
احسن شي عدلو الملف يدوي
وفي الاخير ارجو يامن استفدت من موضوعي ان تدعي لي ولاخوي بشير في ظهر الغيب
السلام عليكم ورحمه الله
درجة خطورة الثغره : عاليه
النسخ المصابه : vB3.5.xو vB3.6.x
المكتشف : FLASHYAN
المصدر : xxxxxxxxx
هناك ثغرة لااعلم مدى حداثتها
اصيب موقعي بإختراق وكل مايدل على هذا الاختراق انه عن طريق التمبلت Forumhome
الى ان نبهني الاخ العجيب ( ابو الحسن ) بوجود META TAG في احد المواضيع وبالطبع سوف تظهر المواضيع الاخير في اي قسم في جدول اخر المشاركات في الصفحة الرئيسية بالمنتدى
الكود الذي تم استخدامه في موقعي هوا للتحويل الذاتي لموقع المخترق
لن اذكر الكود منعا لإنتشارة
الترقيع :
عن طريق ملف newthread.php الموجود في مجلد المنتدى الرئيسي
والتعديل هنا لكي نمنع ال <TAG> من الظهور في عنواين المواضيع
اولا قم بأخذ نسخه احتياطيه من الملف newthread.php
قم بفتح الملف newthread.php
وابحث عن :
رمز PHP:
$newpost['title'] =& $vbulletin->GPC['subject'];
إستبدلها بـ :
رمز PHP:
$newpost['title'] =htmlspecialchars_uni(& $vbulletin->GPC['subject']);
// $newpost['title'] =& $vbulletin->GPC['subject'];
وهنا قمنا بإيقاف السطر القديم واضافة الجديد المعدل
تمت التجربه على النسخه 3.5.4 و النسخه 3.6.0 تحمل نفس الخطأ في النسخه السابقه
الملف الجاهز المعدل للنسحه 3.5.4 في المرفقات وانتبهو ترا نسختي مرخصه اخاف يكون في الملف اكواد تبليغ ولا شي تراني ماافهم في ذي السوالف
احسن شي عدلو الملف يدوي
وفي الاخير ارجو يامن استفدت من موضوعي ان تدعي لي ولاخوي بشير في ظهر الغيب