i.s.s.w
15-03-2007, 12:36 AM
بسم الله الرحمن الرحيم
اجراءات بسيطة لابد من تنفيذها في منتداك كمدير ومسئول عن المنتدى
================================================== ==
هذا الدرس ينفع لحماية النسخة قبل رفعها على السيرفر حماية عامة دون الكشف عن ثغرات النسخة
لكن لكل ثغرة ترقيع
فهذه الإجراءات اجراءات طبيعية لمن اراد حماية منتداه , نسأل الله العافية
افتح مجلد المنتدى الرئيسي vb او كما تسميه
http://araleader.com/lesson/vb-lesson/vb.gif
نقرتين بالماوس الأيسر لتدخل هذا المجلد
سوف أعلق على بعض هذه المجلدات والملفات
http://araleader.com/lesson/vb-lesson/admin.gif
هذا هو مجلد Admincp
وهو أهم المجلدات في المنتدى بالكامل , لاتحذف منه شيئا
حماية هذا المجلد المهم
-----------------------
الحماية في خطوتين ,
1- ادخل الى ملف config.php الموجود في مجلد Includes
ابحث عن هذا السطر
كود PHP:
$config['Misc']['admincpdir'] = 'admincp';
غير كلمة admincp الى أي اسم اخر .. مثلا MyCtrl
ثم اذهب الى لوحة تحكم المنتدى على الرابط الجديد www.***************.com/forum/MyCtrl (http://www.***************.com/forum/MyCtrl)
هذا هو الرابط
2- تدخل الى لوحة تحكم الموقع أو المساحة cPanel ثم الى
Password Protect Directories
http://araleader.com/lesson/vb-lesson/pass.gif
ثم تدخل وتحدد الملف أو المجلد المراد حمايته , ثم تضع يوزر وباص
وهذا الدرس مشروح كثيرا هنا في المعهد , بواسطة عمالقة بارك الله فيهم
---------------------------------------------------------------------------------------
http://araleader.com/lesson/vb-lesson/archive.gif
Archive
وهو مجلد مهم فيجب حمايته باحدى هذه الطرق
1- تعطيله من لوحة التحكم
2- حذفه نهائيا
3- حمايته من الـ cPnel
4- [طريـــــــــــــــــــ جديـــــــــــــدة ــــــــــــقة] أن تستبدله بهذا المجلد
>>>>>> مرفق
---------------------------------------------------------------
http://araleader.com/lesson/vb-lesson/clientscript.gif
clientscript
هذا المجلد هو المسئول عن عمل الجافا والجافا السكربت في المنتدى
فمثلا , ربما لا يظهر صندوق الألوان عند كتابة موضوع , فارجع أولا الى هذا المجلد واستبدله بواحد نظيف من نفس اصدار النسخة
------------------------------------------------------
http://araleader.com/lesson/vb-lesson/cpstyles.gif
وهذا المجلد تضع فيه استايلات لوحة تحكم المنتدى
-------------------------------------------------
http://araleader.com/lesson/vb-lesson/images.gif
هذا من المجلدات المهمة جدا , خاصة بعد الترقية
اذا رقيت منتداك لإصدار حديث لا تنسى أن تأخذ هذا المجلد للنسخة الجديدة , وهو المسئول عن أناقة المنتدى
------------------------------------------------
http://araleader.com/lesson/vb-lesson/includes.gif
هذا المجلد يحتوي على ملفات مهمة جدا فلذلك كان لابد من حماية بوضع الجدار الناري له
|-_| أهم الملفات التي يحتويها هذا المجلد :-
|__ config.php
http://araleader.com/lesson/vb-lesson/config.gif
هذا الملف الذي تضع فيه معلومات القاعدة , والذي سوف نفرد له شرح خاص ان شاء الله
|__ data****_error_page.html
http://araleader.com/lesson/vb-lesson/data****_error_page.gif
وهذا الملف من نوع Html , لابد من تغيير محتواه الى محتوى أفضل , حتى اذا حدث خلل في قواعد البيانات , أو سقطت قواعد بيانات السيرفر بالكامل لا يظهر الخلل للزوار
عبارة عن بيضاء مزعجة تخبرك بوجود أخطاء وأن تحاول تنشيط الصفحة ************* وأن تحاول الإتصال بالمشرف ...الخ
فبرجاء تغيير محتواها الى محتوى أفضل
|__ init.php
http://araleader.com/lesson/vb-lesson/init.gif
لاحظ أن هذا الملف يرتبط ارتباط قوي بملف الـ config.php
لاحظ هذه الجملة الشرطية في ملف init.php
كود PHP:
if (!empty($vbulletin->config['Misc']['forumpath']))
تجد نظيرتها في الـ config.php
كود PHP:
$config['Misc']['forumpath'] = '/home/users/public_html/forums';
كود PHP:
$config['Misc']['forumpath'] = 'c:\program files\apache group\apache\htdocs\vb3';
كان هذا تعليق
لكن انظر مايعنيه الموجود في الـ init.php
كود PHP:
$config['Misc']['forumpath'] = '';
----------------------------------------------------------------------
http://araleader.com/lesson/vb-lesson/install.gif
بعد الإنتهاء من تثبيت منتداك لأول مرة أو الترقية , فمن الأفضل حذف هذا المجلد نهائيا
------------------------------------------------------
http://araleader.com/lesson/vb-lesson/modcp.gif
هذا المجلد له حماية قوية على خطوتين مثل الـ admincp
1- اذهب الى ملف الـ config.php الموجود في مجلد includes
ابحث عن
كود PHP:
$config['Misc']['modcpdir'] = 'modcp';
غير كلمة modcp الى شئ أخر تريده مثلا : MyMod
فيكون الرابط الجديد www.**************.com/forum/MyMod (http://www.**************.com/forum/MyMod)
2- حماية بوضع جدار ناري من الـ cPanel
------------------------------------------------
http://araleader.com/lesson/vb-lesson/calender.gif
هذا الملف الموجود على هذا المسار www.**************.com/calender.php (http://www.**************.com/calender.php)
من الأفضل افراغ محتواه واستبداله بمحتوى الـ index.php
وكذلك الملفات التالية
showgroups.php
http://araleader.com/lesson/vb-lesson/show.gif
وملف online.php
http://araleader.com/lesson/vb-lesson/online.gif
وملف memberlist.php
http://araleader.com/lesson/vb-lesson/mrmber.gif
================================================== ======
بالنسبة للثغرة الجديدة
ثغرة الميتاج تاج ريفرش
إاليكم الحل
أسأل الله أن ينفعنا جميعا به
-------------------------------------
طرق الترقيع المذكورة
=================
ادخل لتحرير ملف newthread.php
خذ نسخة احتياطية منه اولا تحسبا لظروف لا تأتي في الحسبان
ثم ابحث عن :
كود PHP:
$newpost['title'] =& $vbulletin->GPC['subject'];
واستبدله بـ
كود PHP:
$newpost['title'] =htmlspecialchars_uni(& $vbulletin->GPC['subject']);
// $newpost['title'] =& $vbulletin->GPC['subject'];
=============
الخطوة الأخرى
امنع هذه الكلمات
http://araleader.com/lesson/disallowed.gif
منقول من منتديات الوافي التطويرية
يتبع بعون الله من قبلنا عن قريب
اجراءات بسيطة لابد من تنفيذها في منتداك كمدير ومسئول عن المنتدى
================================================== ==
هذا الدرس ينفع لحماية النسخة قبل رفعها على السيرفر حماية عامة دون الكشف عن ثغرات النسخة
لكن لكل ثغرة ترقيع
فهذه الإجراءات اجراءات طبيعية لمن اراد حماية منتداه , نسأل الله العافية
افتح مجلد المنتدى الرئيسي vb او كما تسميه
http://araleader.com/lesson/vb-lesson/vb.gif
نقرتين بالماوس الأيسر لتدخل هذا المجلد
سوف أعلق على بعض هذه المجلدات والملفات
http://araleader.com/lesson/vb-lesson/admin.gif
هذا هو مجلد Admincp
وهو أهم المجلدات في المنتدى بالكامل , لاتحذف منه شيئا
حماية هذا المجلد المهم
-----------------------
الحماية في خطوتين ,
1- ادخل الى ملف config.php الموجود في مجلد Includes
ابحث عن هذا السطر
كود PHP:
$config['Misc']['admincpdir'] = 'admincp';
غير كلمة admincp الى أي اسم اخر .. مثلا MyCtrl
ثم اذهب الى لوحة تحكم المنتدى على الرابط الجديد www.***************.com/forum/MyCtrl (http://www.***************.com/forum/MyCtrl)
هذا هو الرابط
2- تدخل الى لوحة تحكم الموقع أو المساحة cPanel ثم الى
Password Protect Directories
http://araleader.com/lesson/vb-lesson/pass.gif
ثم تدخل وتحدد الملف أو المجلد المراد حمايته , ثم تضع يوزر وباص
وهذا الدرس مشروح كثيرا هنا في المعهد , بواسطة عمالقة بارك الله فيهم
---------------------------------------------------------------------------------------
http://araleader.com/lesson/vb-lesson/archive.gif
Archive
وهو مجلد مهم فيجب حمايته باحدى هذه الطرق
1- تعطيله من لوحة التحكم
2- حذفه نهائيا
3- حمايته من الـ cPnel
4- [طريـــــــــــــــــــ جديـــــــــــــدة ــــــــــــقة] أن تستبدله بهذا المجلد
>>>>>> مرفق
---------------------------------------------------------------
http://araleader.com/lesson/vb-lesson/clientscript.gif
clientscript
هذا المجلد هو المسئول عن عمل الجافا والجافا السكربت في المنتدى
فمثلا , ربما لا يظهر صندوق الألوان عند كتابة موضوع , فارجع أولا الى هذا المجلد واستبدله بواحد نظيف من نفس اصدار النسخة
------------------------------------------------------
http://araleader.com/lesson/vb-lesson/cpstyles.gif
وهذا المجلد تضع فيه استايلات لوحة تحكم المنتدى
-------------------------------------------------
http://araleader.com/lesson/vb-lesson/images.gif
هذا من المجلدات المهمة جدا , خاصة بعد الترقية
اذا رقيت منتداك لإصدار حديث لا تنسى أن تأخذ هذا المجلد للنسخة الجديدة , وهو المسئول عن أناقة المنتدى
------------------------------------------------
http://araleader.com/lesson/vb-lesson/includes.gif
هذا المجلد يحتوي على ملفات مهمة جدا فلذلك كان لابد من حماية بوضع الجدار الناري له
|-_| أهم الملفات التي يحتويها هذا المجلد :-
|__ config.php
http://araleader.com/lesson/vb-lesson/config.gif
هذا الملف الذي تضع فيه معلومات القاعدة , والذي سوف نفرد له شرح خاص ان شاء الله
|__ data****_error_page.html
http://araleader.com/lesson/vb-lesson/data****_error_page.gif
وهذا الملف من نوع Html , لابد من تغيير محتواه الى محتوى أفضل , حتى اذا حدث خلل في قواعد البيانات , أو سقطت قواعد بيانات السيرفر بالكامل لا يظهر الخلل للزوار
عبارة عن بيضاء مزعجة تخبرك بوجود أخطاء وأن تحاول تنشيط الصفحة ************* وأن تحاول الإتصال بالمشرف ...الخ
فبرجاء تغيير محتواها الى محتوى أفضل
|__ init.php
http://araleader.com/lesson/vb-lesson/init.gif
لاحظ أن هذا الملف يرتبط ارتباط قوي بملف الـ config.php
لاحظ هذه الجملة الشرطية في ملف init.php
كود PHP:
if (!empty($vbulletin->config['Misc']['forumpath']))
تجد نظيرتها في الـ config.php
كود PHP:
$config['Misc']['forumpath'] = '/home/users/public_html/forums';
كود PHP:
$config['Misc']['forumpath'] = 'c:\program files\apache group\apache\htdocs\vb3';
كان هذا تعليق
لكن انظر مايعنيه الموجود في الـ init.php
كود PHP:
$config['Misc']['forumpath'] = '';
----------------------------------------------------------------------
http://araleader.com/lesson/vb-lesson/install.gif
بعد الإنتهاء من تثبيت منتداك لأول مرة أو الترقية , فمن الأفضل حذف هذا المجلد نهائيا
------------------------------------------------------
http://araleader.com/lesson/vb-lesson/modcp.gif
هذا المجلد له حماية قوية على خطوتين مثل الـ admincp
1- اذهب الى ملف الـ config.php الموجود في مجلد includes
ابحث عن
كود PHP:
$config['Misc']['modcpdir'] = 'modcp';
غير كلمة modcp الى شئ أخر تريده مثلا : MyMod
فيكون الرابط الجديد www.**************.com/forum/MyMod (http://www.**************.com/forum/MyMod)
2- حماية بوضع جدار ناري من الـ cPanel
------------------------------------------------
http://araleader.com/lesson/vb-lesson/calender.gif
هذا الملف الموجود على هذا المسار www.**************.com/calender.php (http://www.**************.com/calender.php)
من الأفضل افراغ محتواه واستبداله بمحتوى الـ index.php
وكذلك الملفات التالية
showgroups.php
http://araleader.com/lesson/vb-lesson/show.gif
وملف online.php
http://araleader.com/lesson/vb-lesson/online.gif
وملف memberlist.php
http://araleader.com/lesson/vb-lesson/mrmber.gif
================================================== ======
بالنسبة للثغرة الجديدة
ثغرة الميتاج تاج ريفرش
إاليكم الحل
أسأل الله أن ينفعنا جميعا به
-------------------------------------
طرق الترقيع المذكورة
=================
ادخل لتحرير ملف newthread.php
خذ نسخة احتياطية منه اولا تحسبا لظروف لا تأتي في الحسبان
ثم ابحث عن :
كود PHP:
$newpost['title'] =& $vbulletin->GPC['subject'];
واستبدله بـ
كود PHP:
$newpost['title'] =htmlspecialchars_uni(& $vbulletin->GPC['subject']);
// $newpost['title'] =& $vbulletin->GPC['subject'];
=============
الخطوة الأخرى
امنع هذه الكلمات
http://araleader.com/lesson/disallowed.gif
منقول من منتديات الوافي التطويرية
يتبع بعون الله من قبلنا عن قريب