أهلا وسهلا بك زائرنا الكريم في منتدى دعم PBBoard الرسمي، لكي تتمكن من المشاركة ومشاهدة جميع أقسام المنتدى وكافة الميزات ، يجب عليك إنشاء حساب جديد بالتسجيل بالضغط هنا أو تسجيل الدخول اضغط هنا إذا كنت عضواً .

تغره xss Java.script injection

موضوع مغلق


20-02-2010 07:53 صباحاً
Bruce
معلومات الكاتب
السلام عليكم ورحمه الله وبركاته
تغره xss Java.script injection
------------------------------------------
بواسطة Bruce
http://developer.ws.ly
------------------------------------------
كود الحقن : علي الخاص

توجد ثغره بسيطه في ملف الـ show.php وذلك لعدم تأمين متغير id من مصفوفة _GET

طريقة الحل
افتح ملف show.php
ابحث عن
CODE
$contopicid = ('index.php?page=topic&show=1&id=' .$_GET['id']);

استبدلها بـ
CODE
$contopicid = 'index.php?page=topic&show=1&id=' .intval($_GET['id']);


سلام
تم تحرير الموضوع بواسطة :Bruce بتاريخ:


look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 08:09 صباحاً   [1]
فراس اللو
معلومات الكاتب
:) اهلاً أهلاً Bruce ، وحشتنا جداً
جزاك الله كل خير .

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 08:57 صباحاً   [2]
exchangeboss
معلومات الكاتب
جزاك الله خيرا ارسل كود الحقن

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 12:01 مساءً   [3]
Soliman
معلومات الكاتب
أهلا بك أخي Bruce

لا اعتقد انها ستعمل معك يوجد تشييك وحماية عالية على كافة إدخالات المتغيرات عن طريق $_GET من اكواد الـ Java** و الـ HTML حتى لو لم يتم تأمين قيمة المتغير بارقام صحيحة فقط عن طريق دالة intval
هناك دوال حماية سبق وتم إنشاها في موديل الـ common.module.php لمنع وإيقاف كل محاولات الحقن ..

:)

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 05:02 مساءً   [4]
Bruce
معلومات الكاتب
[/font][font=Arial]exchangeboss
ساقوم بوضعه في رد جديد

سليمان
طبعا المنتدي في الردود يقوم بتغير شكل الكود لهاذا ساضعه كمرفق طبعا انا لم اتكلم الا بعد تجربته عليه

كود الحقن في المرفقات
 
  xss.txt   تحميل text/plain مرات التحميل :(42)
الحجم :(0.114) KB

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 05:04 مساءً   [5]
Bruce
معلومات الكاتب
سليمان

انا لا اتكلم الا في سبيل الرقي بالمنتدى ولوكان عندي وقت فاضي لكنت قمت بالتحقق من كافة النسخة والتطوير عليها

شكرا سليمان وشكرا pbBoard

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 06:36 مساءً   [6]
Jehazee
معلومات الكاتب
أنا أقوم بإعادة كتابه لدوال الفحص من الحقن في common.module.php لأن هذه الجزئيه لن تعمل مع الأصدار الحديث من php وفيها مشاكل مع 5.3 بكل أنواعها ... وسأقوم بطرح التعديل فور الأنتهاء منه إن شاء الله تعالى

آآسف إن كنت اطلة عليكم في تكرر كلمة "قريباً" بسبب أنشغالاتي الله يكون بالعون يارب

أخوكم عبدالرحمن

تم تحرير المشاركة بواسطة :Jehazee بتاريخ:


look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 09:56 مساءً   [7]
Bruce
معلومات الكاتب
تم اغلاق التغره في المنتدي شكرا لادارة الموقع

look/images/icons/i1.gif تغره xss Java.script injection
  20-02-2010 10:22 مساءً   [8]
Soliman
معلومات الكاتب
ملف الـ show.php هو ملف زائد لاحاجة له للمنتديات التي تم تأسيسها على PBB منذ البداية
حيث تكمن مهتمه في الحفاظ على روابط المواضيع القديمة لمن قاموا بالترقية من الجيل الأول لبرنامج MysmartBB بسبب اختلاف روابط المواضيع حيث تم تلبيته في هذا الموضوع ( مهم جدا !! ، للحفاظ على الروابط القديمة في محركات البحث .)
وتقريباً ملف show.php ليس خاضع لأي رقابة أو حماية يمكن حذفه واستبدالة بملف htaccess لتحويل الروابط القديمة إلى الجديدة
عموماً اشكرك على التنبيه أخي Bruce ويفضل لو تستمر في عمليات التحقق من اي ثغرات



الكلمات الدلالية
لا يوجد كلمات دلالية ..






الساعة الآن 02:00 AM