المدير العام
المدير العام للمنتدى
عدد الرسائل : 1738
 |  موضوع: ثغرة بصندوق المحادثات الاصدار vBShout v2  السبت 28 أغسطس 2010, 12:06 | |
|
السلام عليكم ورحمة الله وبركاته
من فترة ابلغني كم عضو بإختراق صفحة أرشيف المحادثات اللي يكون على هذا الرابط
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
وتحويل الصفحة إلى صفحة إختراق بصيغة html
ورجعت وتابعت موضوع مبرمج الهاك وهو / Zero Tolerance ولقيته فعلاً اثبت وجود ثغرة بملف vbshout.php
وتم إنزال إصدار جديد وهو vBShout v2.1
وكان الموضوع نزل على الروابط التاليه
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
وعلى العموم تم تعريب وتطوير الهاك وترقيعه بميزات جديدة يعني جاهز بالكامل وهي كالتالي
1- إصلاح بعض الأخطاء البرمجية
2- إغلاق الثغرات الموجودة في الإصدار القديم
3- أوامر سهلة لحذف المحادثات بدفعة واحدة او حذف محادثات عضو معين
4- حذف خاصية الوقت والتاريخ حتى ما تسبب تشوه في صندوق المحادثة
5- خاصية تحديد عدد المشاركات حتى يستطيع بعدها العضو المشاركة في المحادثات
6- تحديد عدد معين يحدده المدير لكي يستطيع العضو بعدها استخدام خاصية الرسائل الخاصة
7- المحادثات يتم تخزينها في الملف اللي بيكون بأسم vbshout.html وليس على القاعدة
8- عند الضغط على اسم اي عضو في المحادثة تستطيع إرسال رسالة خاصة مباشرة
يعني فيه منتديات عدد اعضائها فوق 100 للمتواجدين حالياً ولو يبي يرسل لعضو معين بالمحادثة بيجلس يحوس على أسمه
لكن اللحين كل اللي عليه يضغط على الأسم في نفس الصندوق وراح يفتح له إرسال رسالة خاصة على طول
وهو على هذا الرابط لمن اراد حذف القديم وتركيب الجديد او تحميله من المرفقات جاهز
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
اما من لا يرغب بتغيير الصندوق ويبي يعدل فقط ويرقع تفضل
ابحث في ملف vbshout.php عن التالي
رمز PHP:
- الكود:
-
function bbcodeparser($text = '')
{
global $vbulletin;
if ($vbulletin->options['shout_bbcode'])
{
return $vbulletin->vbshout_parse->parse(convert_url_to_bbcode($text), 'nonforum');
}
else
{
return $text;
}
}
وأستبدله بالتالي
رمز PHP:
- الكود:
-
function bbcodeparser($text = '', $striphtml = true)
{
global $vbulletin;
if ($striphtml)
{
//$text = htmlspecialchars_uni(trim($text));
}
if ($vbulletin->options['shout_bbcode'])
{
return $vbulletin->vbshout_parse->parse(convert_url_to_bbcode($text), 'nonforum');
}
else
{
return $text;
}
}
ملاحظة هامة جداً
لحظت عند قيامي بفحص احد المواقع ان بعض من ضعاف النفوس ممن يأخذون موضوعي هذا
وينقلونه إلى منتديات أخرى يقوموم بتلغيم ملف vbshout.php وهذا إثبات لكلامي بالصور
اي هاك منقول في منتديات تطويرية أخرى وليست بأسمي ولا انا كتبتها لا اتحمل مسئولية الهاك
المنتديات المشارك بها هي كالتالي
ترايدنت
سوالف سوفت
الويب العربي
مدرسة المشاغبين
غير اللي مذكور بالأعلى ليس لي به اي صلاحيات
واللي يبي يركب الهاك يركب اللي انا شارحه واللي طرحته في المرفقات فقط لا غير
وجب التنبيه
لتحميل الملف المرفق
اضغط هنا للتحميل
| |
|
