بسم الله وعلى بركته
الهاكرز غالبا يخترقون المنتديات عن طريق المجلدات الرئيسية بالمنتدى مثل
admincp او modcp او install او includes
نعم فعلا يدخلونها بكل سهولة ولا جدار ناري ! فكيف نضع جدار ناري في وجوههم تمنعهم من دخول المجلدات هذه
اليكم الطريقة :
ادخل الى لوحة التحكم بالموقع ، CPanel
اضغط على
Password Protected Directories
ادخل مجلد المنتدى وغالبا يكون VB
سترى الان محتويات المجلد
الان قم بالضغط على المجلد الاتي
admincp
ستظهر لك هذه الرسالة بالصفحة
Folder requires a password to access via http://
اشر عليها بعلامة صح او غيرها
Protected Resource Name
في هذه الخانة اكتب PRIVATE
بالاسفل قم باضافة الاشخاص الذين لهم حق الدخول باعطائهم اسماء مخصصة وباسوردات
واضغط add user
بعد الانتهاء
اضعط على save
راح تلاحظ ظهور علامة قـفـل بالقرب من المجلد
كرر نفس العملية للمجلدات التالية
modcp و install و includes
. . . . يـتـبـع . . .






3- ثغرة الـ HTML
اذهب الى لوحة تحكم المنتدى بعدها الى خيارات المنتدى
VB OPTIONS
بعدها الى User Profile Options
خيارات هوية العضو
السماح بأكواد الـ HTML في التواقيع
لا
خيارات المنتدى
خيارات الرسائل الخاصة
السماح بأكواد الـ HTML في الرسائل الخاصة
خيارات المنتدى
خيارات ملاحظات العضو
السماح بـ HTML في ملاحظات الأعضاء
. . . يـتـبـع . . .




4- ثغرة شريط اخر المواضيع :
افتح ملف last10.php
وببعض الهاكات الاخرى ملف ttlast.php
ابحث عن
$fsel
$ftitle
فقط قم بحذفهم من الملف
وارفعه لمجلد منتداك
5-ثغرة ملف التعليمات faq.php
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى
طريقة سد الثغرة
فتح ملف faq.php وقم بالبحث عن الأسطر التاليه
كود PHP:
// initialize some template bits
$faqbits = '';
$faqlinks = '';
أضف بعدها مباشرة
كود PHP:
$navbits[''] =$vbphrase['faq'];
احفظ الملف وارفعه لمجلد منتداك
. . . يـتـبـع . . .

9-قم بفتح الملف memberlist.php في مجلد المنتدى vb
وامسح جميع محتوياته وضع الكود التالي
****** **********="*******-Language" *******="en-us">
<p>sorry member page is not available at the moment</p>
واحفظ الملف
10- قم بفتح ملف calendar.php وامسح جميع محتوياته وضع الكود التالي
****** **********="*******-Language" *******="en-us">
<p>sorry calendar page is not available at the moment</p>
واحفظ الملف
. . . يـتـبـع . . .





12- ثغرة محرك البحث
استبدل الملف التالي
vb/includes/functions_search.php
بالملف المرفق باسم (functions_search.php)
13- ثغرة الصندوق السحري
قم بالذهاب الى لوحة تحكم المنتدى بعدها الى خيارات الاكواد
bbcode option
قم بمسح كود الـ FLASH
فيها ثغرة تتعلق بالرموز
كذلك الحال الى كود التنسيق الشعر قم بحذفه وحذف جميع ملفاته في الفايل منجر
فهو مملوء بالثغرات .
14- حل ثغرة مركز التحميل
افتح ملف uploader.php
ابحث عن :
$type = explode("." ,$file_name);
استبدله بـ :
$type = explode("." ,$file_name,2);
احفظ الملف
15-اذهب الى مجلد includesقم باعادة تحميل ملف init.php
ملاحظة : الملف مرفق بالموضوع
للاهمية عدد الثغرات اكثر من 15 ثغرة لكن مسح بعض الملفات قلصت العدد وهذا ما ننصح به!

مـــنــقــول
ـآخــتكم
الساهرهـ

جــزاك اللـه خيـر يالسـاهره

عالنقــل مشكــورة وماقصــرتي ..

إن شـاء اللـه يستفيـد منهـا أصحـاب المنتـديات

في تـرقيـع الثغـرات ..

تحيتي لكـ ,,

يـ ع ـطيكـ آلف عآآآآآآآآفيهـ ،،

مجهووود رآآآآآآآآآئع ..

عسآآآآكـ على القوهـ ...



متآآآآآبعهـ وبقوووهـ لآآآبدآآآعاتك ...!

مشكوره أختى على النقل الرائع

الله يعطيكِ الصحه والعافيه

ودمتِ بود

مجهووووود مبذوووول راااائع
يسلموووووو على الشرح الراااااقي

دمتي وداااااااام قلمك المعطاء

حيآآآآآتي قبل تحيآآآآآآآتي
الرحــــــآآآآآآآلـ

يعطيك العافيه : )