ثغرة بصندوق المحادثات الاصدار vBShout v2

**admin** · #1 01-17-2008, 01:11 AM

السلام عليكم ورحمة الله وبركاته
من فترة ابلغني كم عضو بإختراق صفحة أرشيف المحادثات اللي يكون على هذا الرابط
http://www.××××.com/vb/vbshout.php?
وتحويل الصفحة إلى صفحة إختراق بصيغة html
ورجعت وتابعت موضوع مبرمج الهاك وهو / Zero Tolerance ولقيته فعلاً اثبت وجود ثغرة بملف vbshout.php
وتم إنزال إصدار جديد وهو vBShout v2.1
وكان الموضوع نزل على الروابط التاليه
http://www.vbhackers.com/f76/ajax-fl...ut-2-1-a-4536/
http://www.vb-brasil.org/forums/zero...box-no-vb.html
وعلى العموم تم تعريب وتطوير الهاك وترقيعه بميزات جديدة يعني جاهز بالكامل وهي كالتالي
1- إصلاح بعض الأخطاء البرمجية
2- إغلاق الثغرات الموجودة في الإصدار القديم
3- أوامر سهلة لحذف المحادثات بدفعة واحدة او حذف محادثات عضو معين
4- حذف خاصية الوقت والتاريخ حتى ما تسبب تشوه في صندوق المحادثة
5- خاصية تحديد عدد المشاركات حتى يستطيع بعدها العضو المشاركة في المحادثات
6- تحديد عدد معين يحدده المدير لكي يستطيع العضو بعدها استخدام خاصية الرسائل الخاصة
7- المحادثات يتم تخزينها في الملف اللي بيكون بأسم vbshout.html وليس على القاعدة
8- عند الضغط على اسم اي عضو في المحادثة تستطيع إرسال رسالة خاصة مباشرة
يعني فيه منتديات عدد اعضائها فوق 100 للمتواجدين حالياً ولو يبي يرسل لعضو معين بالمحادثة بيجلس يحوس على أسمه
لكن اللحين كل اللي عليه يضغط على الأسم في نفس الصندوق وراح يفتح له إرسال رسالة خاصة على طول
وهو على هذا الرابط لمن اراد حذف القديم وتركيب الجديد او تحميله من المرفقات جاهز
http://www.traidnt.net/vb/showthread.php?t=604578
اما من لا يرغب بتغيير الصندوق ويبي يعدل فقط ويرقع تفضل
ابحث في ملف vbshout.php عن التالي

كود PHP:


			
function bbcodeparser($text = '') 
{ 
    global $vbulletin; 
    if ($vbulletin->options['shout_bbcode']) 
    { 
        return $vbulletin->vbshout_parse->parse(convert_url_to_bbcode($text), 'nonforum'); 
    } 
    else 
    { 
        return $text; 
    } 
}

وأستبدله بالتالي

كود PHP:


			
function bbcodeparser($text = '', $striphtml = true) 
{ 
    global $vbulletin; 
    if ($striphtml) 
    { 
        //$text = htmlspecialchars_uni(trim($text)); 
    } 
    if ($vbulletin->options['shout_bbcode']) 
    { 
        return $vbulletin->vbshout_parse->parse(convert_url_to_bbcode($text), 'nonforum'); 
    } 
    else 
    { 
        return $text; 
    } 
}

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
انواع عرض الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
موديل البوم الصور المميز الاصدار 4.0.1 albums	prof4host.net	قسم الاضافات والموديلات الخاصه بالسكربت	0	12-07-2010 09:03 AM
موديل الشات ( المحادثات ) chat-4.0.3	prof4host.net	قسم الاضافات والموديلات الخاصه بالسكربت	0	12-07-2010 08:14 AM
[جديد]حل ثغرة Spacer_open	admin	ركـــن ثغـــرات النسخـــــه الثالثـــه	7	10-28-2009 09:05 PM
ترقيع ثغرة منظم الإعلانات	admin	ركـــن ثغـــرات النسخـــــه الثالثـــه	0	03-18-2009 07:55 AM
l[ثغرة Xss من 3.6.0 الى 3.6.6 ]l	admin	ركـــن ثغـــرات النسخـــــه الثالثـــه	0	01-17-2008 01:13 AM

الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)

ثغرة بصندوق المحادثات الاصدار vBShout v2

ركـــن ثغـــرات النسخـــــه الثالثـــه