أهلا وسهلا بك زائرنا الكريم في PBBoard Community Forum، لكي تتمكن من المشاركة ومشاهدة جميع أقسام المنتدى وكافة الميزات ، يجب عليك إنشاء حساب جديد بالتسجيل بالضغط هنا أو تسجيل الدخول اضغط هنا إذا كنت عضواً .







تغره xss **.s c r i p t injection

السلام عليكم ورحمه الله وبركاته تغره xss Java.script injection ------------------------------------------ بواسطة Bruce ..


موضوع مغلق

الصفحة 1 من 2 < 1 2 > الأخيرة »


20-02-2010 07:53 صباحا
Bruce
عضـو مشارك
rating
معلومات الكاتب ▼
تاريخ الإنضمام : 19-02-2010
رقم العضوية : 382
المشاركات : 10
الجنس : ذكر
قوة السمعة : 24
 offline 
السلام عليكم ورحمه الله وبركاته
تغره xss **.s c r i p t injection
------------------------------------------
بواسطة Bruce
http://developer.ws.ly
------------------------------------------
كود الحقن : علي الخاص

توجد ثغره بسيطه في ملف الـ show.php وذلك لعدم تأمين متغير id من مصفوفة _GET

طريقة الحل
افتح ملف show.php
ابحث عن
$contopicid = ('index.php?page=topic&show=1&id=' .$_GET['id']);

استبدلها بـ
$contopicid = 'index.php?page=topic&show=1&id=' .intval($_GET['id']);


سلام




تم تحرير الموضوع بواسطة :Bruce
بتاريخ:01-01-1970 03:00 صباحا


20-02-2010 08:09 صباحا
مشاهدة مشاركة منفردة [1]
فراس اللو
عضـو مشارك
rating
معلومات الكاتب ▼
تاريخ الإنضمام : 21-09-2009
رقم العضوية : 122
المشاركات : 75
الجنس : ذكر
الدعوات : 1
قوة السمعة : 10
PBBoard Version : 2.1.4
 offline 
look/images/icons/i1.gif تغره xss **.s c r i p t injection
smile اهلاً أهلاً Bruce ، وحشتنا جداً
جزاك الله كل خير .

20-02-2010 08:57 صباحا
مشاهدة مشاركة منفردة [2]
exchangeboss
عضو فعال
rating
معلومات الكاتب ▼
تاريخ الإنضمام : 14-01-2010
رقم العضوية : 319
المشاركات : 165
الجنس : ذكر
قوة السمعة : 40
 offline 
look/images/icons/i1.gif تغره xss **.s c r i p t injection
جزاك الله خيرا ارسل كود الحقن

20-02-2010 12:01 مساء
مشاهدة مشاركة منفردة [3]
Soliman
PBB Management
rating
معلومات الكاتب ▼
تاريخ الإنضمام : 18-07-2009
رقم العضوية : 1
المشاركات : 11726
الدولة : السعودية
الجنس : ذكر
تاريخ الميلاد : 6-1-1980
الدعوات : 51
قوة السمعة : 69156
موقعي : زيارة موقعي
عدد الإجابات: 253
PBBoard Version : 3.0.3
 offline 
look/images/icons/i1.gif تغره xss **.s c r i p t injection
أهلا بك أخي Bruce

لا اعتقد انها ستعمل معك يوجد تشييك وحماية عالية على كافة إدخالات المتغيرات عن طريق $_GET من اكواد الـ **** و الـ HTML حتى لو لم يتم تأمين قيمة المتغير بارقام صحيحة فقط عن طريق دالة intval
هناك دوال حماية سبق وتم إنشاها في موديل الـ common.module.php لمنع وإيقاف كل محاولات الحقن ..

smile
توقيع :Soliman
تذكر : لكي تتم مساعدتك في استفساراتك وطلباتك يجب عليك الالتزام بتطبيق قوانين الدعم الفني


20-02-2010 05:02 مساء
مشاهدة مشاركة منفردة [4]
Bruce
عضـو مشارك
rating
معلومات الكاتب ▼
تاريخ الإنضمام : 19-02-2010
رقم العضوية : 382
المشاركات : 10
الجنس : ذكر
قوة السمعة : 24
 offline 
look/images/icons/i1.gif تغره xss **.s c r i p t injection
[/font][font=Arial]exchangeboss
ساقوم بوضعه في رد جديد

مشراق
طبعا المنتدي في الردود يقوم بتغير شكل الكود لهاذا ساضعه كمرفق طبعا انا لم اتكلم الا بعد تجربته عليه

كود الحقن في المرفقات





 
 
  xss.txt   تحميل text/plain مرات التحميل :(42)
الحجم :(0.114) KB


20-02-2010 05:04 مساء
مشاهدة مشاركة منفردة [5]
Bruce
عضـو مشارك
rating
معلومات الكاتب ▼
تاريخ الإنضمام : 19-02-2010
رقم العضوية : 382
المشاركات : 10
الجنس : ذكر
قوة السمعة : 24
 offline 
look/images/icons/i1.gif تغره xss **.s c r i p t injection
مشراق

انا لا اتكلم الا في سبيل الرقي بالمنتدى ولوكان عندي وقت فاضي لكنت قمت بالتحقق من كافة النسخة والتطوير عليها

شكرا مشراق وشكرا pbBoard

20-02-2010 06:36 مساء
مشاهدة مشاركة منفردة [6]
Jehazee
عضـو مشارك
rating
العضو غائب إنشغالات الحياة لا تنتهي, لأي أمر ضروري راسلني على بريدي الخاص
معلومات الكاتب ▼
تاريخ الإنضمام : 22-10-2009
رقم العضوية : 162
المشاركات : 36
الدولة : state less
الجنس : ذكر
تاريخ الميلاد : 3-12-1988
قوة السمعة : 20
موقعي : زيارة موقعي
PBBoard Version : غير محدد
 offline 
look/images/icons/i1.gif تغره xss **.s c r i p t injection
أنا أقوم بإعادة كتابه لدوال الفحص من الحقن في common.module.php لأن هذه الجزئيه لن تعمل مع الأصدار الحديث من php وفيها مشاكل مع 5.3 بكل أنواعها ... وسأقوم بطرح التعديل فور الأنتهاء منه إن شاء الله تعالى

آآسف إن كنت اطلة عليكم في تكرر كلمة "قريباً" بسبب أنشغالاتي الله يكون بالعون يارب

أخوكم عبدالرحمن


تم تحرير المشاركة بواسطة :Jehazee
بتاريخ:01-01-1970 03:00 صباحا

توقيع :Jehazee
Developer and team member of Unique "MySmartBB"
My Personal Blog
http://algahazi.me
My Personal Email ID
[email protected]
805681





الصفحة 1 من 2 < 1 2 > الأخيرة »


الكلمات الدلالية
لا يوجد كلمات دلالية ..


 







الساعة الآن 12:47 صباحا