العودة   منتدى نيو حب > منتديات الحاسب والاتصالات > تطوير المواقع

ثغرة Xss في كل نسخ الجيل 3.6 - الترقيع في الداخل

تطوير المواقع


02-05-2007, 11:30 AM
admin
 
Thumbs up ثغرة Xss في كل نسخ الجيل 3 6 - الترقيع في الداخل

تم اليوم التبليغ عن ثغرة جديدة في vBulletin 3.6.x

الثغرة سيئة لأنها تسرق الكوكيز ليس من المنتدى بل من لوحة التحكم وهذا يعني أنه إذا نجح المخترق في تطبيق الثغرة على منتداك فإنه سيتمكن من الحصول على الكوكيز الخاص بالـ cpsession وبالتالي لا يدخل إلى المنتدى باسمك وحسب بل يدخل إلى لوحة التحكم أيضاً

قمت بمراسلة الشركة ولكنهم تصرفوا بغباء لا أدري لماذا وطلبوا مني أن أروي لهم ماذا فعلت خطوة بخطوة مع أن الموضوع واضح ويحتاج إلى التجربة فقط.

على كل حال الحل هو كالتالي:

في الملف admincp/index.php

استبدل السطر التالي:

$vbulletin->input->clean_array_gpc('r', array('navprefs' => TYPE_STR));

بما يلي:

$vbulletin->input->clean_array_gpc('r', array('navprefs' => TYPE_NOHTML));



أيضاً ابحث عن:

$vbulletin->input->clean_array_gpc('r', array(
'prefs' => TYPE_STR,
'dowhat' => TYPE_STR,
'id' => TYPE_INT
));



واستبدله بـ:


$vbulletin->input->clean_array_gpc('r', array(
'prefs' => TYPE_NOHTML,
'dowhat' => TYPE_STR,
'id' => TYPE_INT
));




والآن أنت بأمان حتى صدور النسخة ا لجديدة

مكتشف الثغرة هو
Author: insanity
E-mail: insanity[at]darkers.com.br
http://www.securityfocus.com/bid/21157

الترقيع من Milad
http://miladkawas.blogspot.com/2006...-vbulletin.html

منقول حرفياً من موضوع الأخ ميلاد

من مواضيع : admin ثغرتين في برنامج الـvBulletin الأصدار 3.6.0
عناكب Mediapartners
(( الستايل الخفيف )) 3.6.5 اسم علي مسمى
<link rel="canonical"
وداعا لأكواد التحويل هاك الحماية من جميع الاكواد
 

الكلمات الدلالية (Tags)
36, الترقيع, الداخل, الحجم, ثغرة, xss, في, نسى, كم

أدوات الموضوع

الانتقال السريع

المواضيع المتشابهه
ثيم الألوان الزاهية الجذاب للجوالات الراقية الجيل الخامس
"فودافون مصر" تطلق تكنولوجيا الجيل الرابع
برامج أفضل 50 برنامج من البرامج الخاصة بالجيل الثالث مع الشرح وكل البرامج فى ملف واحد
اين المزج بين الجيل الحالى والسابق فى السينما المصريه
كتاب عن ثقافة الجيل الجديد في العابين روتانا وعمرو خالد جيل جديد من المحجبات المثيرات

ثغرة Xss في كل نسخ الجيل 3.6 - الترقيع في الداخل

الساعة الآن 08:33 AM