احمي منتداك الان من اهم الثغرات

أهلا وسهلا بك زائرنا الكريم في JO1R FORUM | منتديات شباب و صبايا الأردن، لكي تتمكن من المشاركة ومشاهدة جميع أقسام المنتدى وكافة الميزات ، يجب عليك إنشاء حساب جديد بالتسجيل بالضغط هنا أو تسجيل الدخول اضغط هنا إذا كنت عضواً .

: اضافة رد جديد اضافة موضوع جديد

: احمي منتداك الان من اهم الثغرات

10-10-2007 03:57 مساءً

JO1R

تاريخ الإنضمام : 04-07-2007

رقم العضوية : 1

المشاركات : 11,316

الدولة : Jordan

الجنس :

تاريخ الميلاد : 10-7-1986

قوة السمعة : 2,147,483,647

موقعي : زيارة موقعي

اجراءات بسيطة لابد من تنفيذها في منتداك كمدير ومسئول عن المنتدى

================================================== ==

هذا الدرس ينفع لحماية النسخة قبل رفعها على السيرفر حماية عامة دون الكشف عن ثغرات النسخة

لكن لكل ثغرة ترقيع

فهذه الإجراءات اجراءات طبيعية لمن اراد حماية منتداه , نسأل الله العافية

افتح مجلد المنتدى الرئيسي vb او كما تسميه

نقرتين بالماوس الأيسر لتدخل هذا المجلد
سوف أعلق على بعض هذه المجلدات والملفات

admin

هذا هو مجلد Admincp
وهو أهم المجلدات في المنتدى بالكامل , لاتحذف منه شيئا
حماية هذا المجلد المهم
-----------------------
الحماية في خطوتين ,
1- ادخل الى ملف config.php الموجود في مجلد Includes
ابحث عن هذا السطر

كود PHP:

$config[Misc][admincpdir] = admincp;

غير كلمة admincp الى أي اسم اخر .. مثلا MyCtrl
ثم اذهب الى لوحة تحكم المنتدى على الرابط الجديد www.***************************.com/forum/MyCtrl
هذا هو الرابط
2- تدخل الى لوحة تحكم الموقع أو المساحة cPanel ثم الى
Password Protect Directories

pass

ثم تدخل وتحدد الملف أو المجلد المراد حمايته , ثم تضع يوزر وباص
وهذا الدرس مشروح كثيرا هنا في المعهد , بواسطة عمالقة بارك الله فيهم
---------------------------------------------------------------------------------------

archive

Archive
وهو مجلد مهم فيجب حمايته باحدى هذه الطرق
1- تعطيله من لوحة التحكم
2- حذفه نهائيا
3- حمايته من الـ cPnel
4- [طريـــــــــــــــــــ جديـــــــــــــدة ــــــــــــقة] أن تستبدله بهذا المجلد
>>>>>> مرفق
---------------------------------------------------------------

client******
هذا المجلد هو المسئول عن عمل الجافا والجافا السكربت في المنتدى
فمثلا , ربما لا يظهر صندوق الألوان عند كتابة موضوع , فارجع أولا الى هذا المجلد واستبدله بواحد نظيف من نفس اصدار النسخة
------------------------------------------------------

cpstyles

وهذا المجلد تضع فيه استايلات لوحة تحكم المنتدى
-------------------------------------------------

images

هذا من المجلدات المهمة جدا , خاصة بعد الترقية
اذا رقيت منتداك لإصدار حديث لا تنسى أن تأخذ هذا المجلد للنسخة الجديدة , وهو المسئول عن أناقة المنتدى
------------------------------------------------

includes

هذا المجلد يحتوي على ملفات مهمة جدا فلذلك كان لابد من حماية بوضع الجدار الناري له
|-_| أهم الملفات التي يحتويها هذا المجلد :-
|__ config.php
config

هذا الملف الذي تضع فيه معلومات القاعدة , والذي سوف نفرد له شرح خاص ان شاء الله
|__ data****_error_page.html

وهذا الملف من نوع Html , لابد من تغيير محتواه الى محتوى أفضل , حتى اذا حدث خلل في قواعد البيانات , أو سقطت قواعد بيانات السيرفر بالكامل لا يظهر الخلل للزوار
عبارة عن بيضاء مزعجة تخبرك بوجود أخطاء وأن تحاول تنشيط الصفحة ************************* وأن تحاول الإتصال بالمشرف ...الخ
فبرجاء تغيير محتواها الى محتوى أفضل
|__ init.php
init

لاحظ أن هذا الملف يرتبط ارتباط قوي بملف الـ config.php
لاحظ هذه الجملة الشرطية في ملف init.php

كود PHP:

if (!empty($vbulletin->config[Misc][forumpath]))

تجد نظيرتها في الـ config.php

كود PHP:

$config[Misc][forumpath] = /home/users/public_html/forums;

كود PHP:

$config[Misc][forumpath] = c:program filesapache groupapachehtdocsvb3;

كان هذا تعليق
لكن انظر مايعنيه الموجود في الـ init.php

كود PHP:

$config[Misc][forumpath] = ;

----------------------------------------------------------------------

install

بعد الإنتهاء من تثبيت منتداك لأول مرة أو الترقية , فمن الأفضل حذف هذا المجلد نهائيا
------------------------------------------------------

modcp

هذا المجلد له حماية قوية على خطوتين مثل الـ admincp
1- اذهب الى ملف الـ config.php الموجود في مجلد includes
ابحث عن

كود PHP:

$config[Misc][modcpdir] = modcp;

غير كلمة modcp الى شئ أخر تريده مثلا : MyMod
فيكون الرابط الجديد www.**************************.com/forum/MyMod
2- حماية بوضع جدار ناري من الـ cPanel
------------------------------------------------

هذا الملف الموجود على هذا المسار www.**************************.com/calender.php
من الأفضل افراغ محتواه واستبداله بمحتوى الـ index.php
وكذلك الملفات التالية
showgroups.php

show

وملف online.php

online

وملف memberlist.php

mrmber

================================================== ======

بالنسبة للثغرة الجديدة

ثغرة الميتاج تاج ريفرش

إاليكم الحل

أسأل الله أن ينفعنا جميعا به

-------------------------------------

طرق الترقيع المذكورة
=================

ادخل لتحرير ملف newthread.php

خذ نسخة احتياطية منه اولا تحسبا لظروف لا تأتي في الحسبان

ثم ابحث عن :

كود PHP:

$newpost[title] =& $vbulletin->GPC[subject];

واستبدله بـ

كود PHP:

$newpost[title] =htmlspecialchars_uni(& $vbulletin->GPC[subject]);
// $newpost[title] =& $vbulletin->GPC[subject];

=============

الخطوة الأخرى

امنع هذه الكلمات

disallowed