التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام



العودة   :: vBspiders Professional Network :: > [ ::. الـحـمـايـة ~ Security .:: ] > حمـــاية السيــرفرات والمواقـــع > قســم تطويــر المــــواقع

إضافة رد
 
LinkBack أدوات الموضوع انواع عرض الموضوع
قديم 07-25-2010, 05:24 PM   رقم المشاركة : 1 (permalink)
معلومات العضو
 
الصورة الرمزية DannY.IraQi
 

 

 
إحصائية العضو







DannY.IraQi غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
DannY.IraQi is on a distinguished road

................ ثغرة أمنية خطيرة في vBulletin v3.8.6


تم الإعلان عن ثغرة أمنية خطيرة في إحدى أكثر أنظمة المنتديات انتشاراً vBulletin v3.8.6، والتي تسمح للمهاجمين بالوصول إلى أي خادم MySQL يقوم بتشغيل المنتدى.
الثغرة تكمن في آلية البحث الموجودة في ملف FAQ.php والتي تقوم بإعادة نتائج البحث بعد المرور على ملف vbulletin-language.xml أثناء عملها، والذي بدوره يحوي على الكود التالي



اضغط هنا لتصغير الصورة.

وكما يظهر جلياً فإن البيانات هنا سيتم جلبها تلقائياً من ملف الإعدادات ووضعها داخل ملف اللغة الأمر الذي يؤدي من خلال استخدام كلمة البحث “database” في صفحة FAQ إلى إظهار هذه البيانات لأي شخص كان عضواً أو عابر سبيل!

أكدت vBulletin وجود هذه الثغرة في الإصدار 3.8.6 من نظام المنتديات وقامت على الفور بطرح ترقيع أمني متوفر للتحميل، كما أنه تم ترقيع الحزمة الأصلية كاملة على خوادمهم لمن سيقوم بتحميلها لاحقاً حتى لا يضطر إلى إعادة تثبيت الترقيع أيضاً.
شخصياً أخذت بعض الوقت قبل الشروع بكتابة الخبر في استخدام محرك البحث المفضل وعبارة “powered by vBulletin 3.8.6″ بحثاً عن منتديات بهذا الإصدار لتجربة الثغرة لكن جميع النتائج جاءت سلبية (على الأقل في بضع عشرات المنتديات التي جربتها).
الأمر الملحوظ أيضاً أن بعض مزودي خدمات الاستضافة مثل HostGator قاموا بإضافة mod_security rule تقوم بمنع الوصول إلى صفحة faq.php في في حال كانت كلمة البحث هي “database” وقاموا بتشغيل هذه الـ rule على جميع خوادمهم المشتركة shared hosting servers و reseller servers كإجراء وقائي ريثما يقوم معظم أصحاب المنتديات المستضافة لديهم بالتنبه وتثبيت الترقيع وهذا أمر جيد جداً منهم نأمل أن يحذو حذوه غيرهم من أصحاب هذه المزودات.
يمكن الإطلاع على تفاصيل أوفى حول الترقيع من هنا.



eyvm Hlkdm o'dvm td vBulletin v3>8>6

التوقيع

 

   

رد مع اقتباس
قديم 07-25-2010, 06:16 PM   رقم المشاركة : 2 (permalink)
معلومات العضو
 
الصورة الرمزية T3BaN_HaCkEr
 

 

 
إحصائية العضو







T3BaN_HaCkEr غير متواجد حالياً

إرسال رسالة عبر MSN إلى T3BaN_HaCkEr إرسال رسالة عبر Yahoo إلى T3BaN_HaCkEr

 

 

إحصائية الترشيح

عدد النقاط : 10
T3BaN_HaCkEr is on a distinguished road

افتراضي


شكرا جزيلاً لك على الخبـر ، فعلا ثغرة خطيـرة وكويس إنهم كشفوها قبل ما احد يوقع فيها ويخترقوا موقعه

يعطيك الف عافيه ع المجهود الجميل

التوقيع

 

   

رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)


تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
ثغرة خطيرة تجيب الاف تي بي والسي بانل mobdeen SQL قواعد البيانات 4 05-06-2010 07:23 PM
[Style] : ==++ستايلين للوحة تحكم نسخ vBulletin اهداء من تراويق ==++ support قسم ستآيلات الـ vB 1 08-14-2009 08:23 PM


الساعة الآن 09:27 PM


[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0