logo

أهلا وسهلا بك زائرنا الكريم في منتدى دعم PBBoard الرسمي، لكي تتمكن من المشاركة ومشاهدة جميع أقسام المنتدى وكافة الميزات ، يجب عليك إنشاء حساب جديد بالتسجيل بالضغط هنا أو تسجيل الدخول اضغط هنا إذا كنت عضواً .

تغره xss Java.script injection

السلام عليكم ورحمه الله وبركاته تغره xss Java.script injection ------------------------------------------ بواسطة Bruce -------------------------




موضوع مغلق


20-02-2010 07:53 صباحاً
معلومات الكاتب ▼
تاريخ الإنضمام : 19-02-2010
رقم العضوية : 382
المشاركات : 10
الجنس :
قوة السمعة : 24
السلام عليكم ورحمه الله وبركاته
تغره xss Java.script injection
------------------------------------------
بواسطة Bruce
http://developer.ws.ly
------------------------------------------
كود الحقن : علي الخاص

توجد ثغره بسيطه في ملف الـ show.php وذلك لعدم تأمين متغير id من مصفوفة _GET

طريقة الحل
افتح ملف show.php
ابحث عن
CODE
$contopicid = ('index.php?page=topic&show=1&id=' .$_GET['id']);

استبدلها بـ
CODE
$contopicid = 'index.php?page=topic&show=1&id=' .intval($_GET['id']);


سلام
تم تحرير الموضوع بواسطة :Bruce بتاريخ:

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 08:09 صباحاً   [1]
معلومات الكاتب ▼
تاريخ الإنضمام : 21-09-2009
رقم العضوية : 122
المشاركات : 75
الجنس :
الدعوات : 1
قوة السمعة : 10
:) اهلاً أهلاً Bruce ، وحشتنا جداً
جزاك الله كل خير .

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 08:57 صباحاً   [2]
معلومات الكاتب ▼
تاريخ الإنضمام : 14-01-2010
رقم العضوية : 319
المشاركات : 165
الجنس :
قوة السمعة : 40
جزاك الله خيرا ارسل كود الحقن

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 12:01 مساءً   [3]
معلومات الكاتب ▼
تاريخ الإنضمام : 18-07-2009
رقم العضوية : 1
المشاركات : 12526
الدولة : KSA
الجنس :
الدعوات : 52
قوة السمعة : 73776
موقعي : زيارة موقعي
أهلا بك أخي Bruce

لا اعتقد انها ستعمل معك يوجد تشييك وحماية عالية على كافة إدخالات المتغيرات عن طريق $_GET من اكواد الـ Java** و الـ HTML حتى لو لم يتم تأمين قيمة المتغير بارقام صحيحة فقط عن طريق دالة intval
هناك دوال حماية سبق وتم إنشاها في موديل الـ common.module.php لمنع وإيقاف كل محاولات الحقن ..

:)

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 05:02 مساءً   [4]
معلومات الكاتب ▼
تاريخ الإنضمام : 19-02-2010
رقم العضوية : 382
المشاركات : 10
الجنس :
قوة السمعة : 24
[/font][font=Arial]exchangeboss
ساقوم بوضعه في رد جديد

سليمان
طبعا المنتدي في الردود يقوم بتغير شكل الكود لهاذا ساضعه كمرفق طبعا انا لم اتكلم الا بعد تجربته عليه

كود الحقن في المرفقات
 
 
  xss.txt   تحميل text/plain مرات التحميل :(42)
الحجم :(0.114) KB


look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 05:04 مساءً   [5]
معلومات الكاتب ▼
تاريخ الإنضمام : 19-02-2010
رقم العضوية : 382
المشاركات : 10
الجنس :
قوة السمعة : 24
سليمان

انا لا اتكلم الا في سبيل الرقي بالمنتدى ولوكان عندي وقت فاضي لكنت قمت بالتحقق من كافة النسخة والتطوير عليها

شكرا سليمان وشكرا pbBoard

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 06:36 مساءً   [6]
معلومات الكاتب ▼
تاريخ الإنضمام : 22-10-2009
رقم العضوية : 162
المشاركات : 36
الدولة : United States
الجنس :
تاريخ الميلاد : 3-12-1988
قوة السمعة : 20
أنا أقوم بإعادة كتابه لدوال الفحص من الحقن في common.module.php لأن هذه الجزئيه لن تعمل مع الأصدار الحديث من php وفيها مشاكل مع 5.3 بكل أنواعها ... وسأقوم بطرح التعديل فور الأنتهاء منه إن شاء الله تعالى

آآسف إن كنت اطلة عليكم في تكرر كلمة "قريباً" بسبب أنشغالاتي الله يكون بالعون يارب

أخوكم عبدالرحمن


تم تحرير المشاركة بواسطة :Jehazee بتاريخ:


look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 09:56 مساءً   [7]
معلومات الكاتب ▼
تاريخ الإنضمام : 19-02-2010
رقم العضوية : 382
المشاركات : 10
الجنس :
قوة السمعة : 24
تم اغلاق التغره في المنتدي شكرا لادارة الموقع

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 10:22 مساءً   [8]
معلومات الكاتب ▼
تاريخ الإنضمام : 18-07-2009
رقم العضوية : 1
المشاركات : 12526
الدولة : KSA
الجنس :
الدعوات : 52
قوة السمعة : 73776
موقعي : زيارة موقعي
ملف الـ show.php هو ملف زائد لاحاجة له للمنتديات التي تم تأسيسها على PBB منذ البداية
حيث تكمن مهتمه في الحفاظ على روابط المواضيع القديمة لمن قاموا بالترقية من الجيل الأول لبرنامج MysmartBB بسبب اختلاف روابط المواضيع حيث تم تلبيته في هذا الموضوع ( مهم جدا !! ، للحفاظ على الروابط القديمة في محركات البحث .)
وتقريباً ملف show.php ليس خاضع لأي رقابة أو حماية يمكن حذفه واستبدالة بملف htaccess لتحويل الروابط القديمة إلى الجديدة
عموماً اشكرك على التنبيه أخي Bruce ويفضل لو تستمر في عمليات التحقق من اي ثغرات




الكلمات الدلالية
لا يوجد كلمات دلالية ..









الساعة الآن 08:08 PM