السلام عليكم ورحمة الله وبركاته
في الفترة الاخيرة اكتشفت ثغرة في دليل مواقع نواحي
وكان موقعي يتعرض لهجوم عن طريق هذه الثغرة
الثغرة ليست الثغرة التي تجلب معلومات الادمن
وايضا الثغرة لا يمكن للمخترق ان يضع فيها اندكس اختراق
كل اللي بيقدر يسويه هو فقط اضافة مواقع بشكل سريع بدون ادخال بيانات عن الموقع.. يعني المواقع يتم اغراق السكربت بها ولا يحدد لها قسم
وهذا بحد ذاته يشكل ضرر على الموقع وهو اولا يضيف مواقع بشكل غير صحيح
وبدون تحديد قسم
+ الاغراق الذي بيحصل للموقع
فأنا كان عندي يوميا بمعدل 5 - 10 مواقع
مرات تزيد يصيرو 20
لكن من خلال الثغرة كنت اجد كل يوم قريب ال100 موقع
وهذي صورة للثغرة
لم احدد بالضبط طريقة تجاوز المخترق لمسألة اختيار القسم
لكني وضعت له ترقيع مناسب
وبعد الترقيع اختفت كل المشاكل الحمد لله رب العالمين
اليكم طريقة التعديل
سنعدل على ملفين فقط
الاول هو Add.php
نفتح الملف
نبحث عن
رمز PHP:
اضف بعدها مباشرة
رمز PHP:
في الفترة الاخيرة اكتشفت ثغرة في دليل مواقع نواحي
وكان موقعي يتعرض لهجوم عن طريق هذه الثغرة
الثغرة ليست الثغرة التي تجلب معلومات الادمن
وايضا الثغرة لا يمكن للمخترق ان يضع فيها اندكس اختراق
كل اللي بيقدر يسويه هو فقط اضافة مواقع بشكل سريع بدون ادخال بيانات عن الموقع.. يعني المواقع يتم اغراق السكربت بها ولا يحدد لها قسم
وهذا بحد ذاته يشكل ضرر على الموقع وهو اولا يضيف مواقع بشكل غير صحيح
وبدون تحديد قسم
+ الاغراق الذي بيحصل للموقع
فأنا كان عندي يوميا بمعدل 5 - 10 مواقع
مرات تزيد يصيرو 20
لكن من خلال الثغرة كنت اجد كل يوم قريب ال100 موقع
وهذي صورة للثغرة
لم احدد بالضبط طريقة تجاوز المخترق لمسألة اختيار القسم
لكني وضعت له ترقيع مناسب
وبعد الترقيع اختفت كل المشاكل الحمد لله رب العالمين
اليكم طريقة التعديل
سنعدل على ملفين فقط
الاول هو Add.php
نفتح الملف
نبحث عن
رمز PHP:
$country = addslashes($_POST['country']);
$yourname = addslashes($_POST['yourname']);
$yourmail = addslashes($_POST['yourmail']);$cat = $_POST['cat'];
$lang = $_POST['lang'];
$yourname = addslashes($_POST['yourname']);
$yourmail = addslashes($_POST['yourmail']);$cat = $_POST['cat'];
$lang = $_POST['lang'];
وهو تقريبا عند السطر 130
ثم نضيف بعد الكود اللي اعلى
يعني ضيف هذا بعد الكود اللي بحثنا عنه
رمز PHP:
الان نيجي للملف الثاني وهو ملف function.php
ابحث عن
رمز PHP:
ثم نضيف بعد الكود اللي اعلى
الكود التالي
يعني ضيف هذا بعد الكود اللي بحثنا عنه
رمز PHP:
if($cat=="")
{
die("يجب ادخال قسم للموقع قبل اعتماد الاضافة");
}
{
die("يجب ادخال قسم للموقع قبل اعتماد الاضافة");
}
الان نيجي للملف الثاني وهو ملف function.php
ابحث عن
رمز PHP:
اضف بعدها مباشرة
رمز PHP:
اختر القسم المناسب
او للي يحب الملفات جاهزة مرفقة في الموضوع
انتهى
انتهى
الملفات المرفقة
