استعمل مربع البحث في الاسفل لمزيد من المواضيع
سريع للبحث عن مواضيع في المنتدى
-
11-01-2013, بتوقيت غرينيتش 07:50 AM
#1
تم اكتشاف ثغرات خطيرة بمجله عرب سيد و عرب ليونز
بسم الله الرحمن الرحيم
انه فى يوم 4\7\2014
استلم فريق الحمايه ب مرفل سيرف بريد من عميل يقول ان موقعه تم اختراقة بالكامل ومسح المحتوى الخاص بالموقع
فبدا فريق الحمايه بالشركة بالتحقيق فى عمليه الاختراق الامنى الذى حدث بالموقع
وفيما يلى خطوات الفحص الذى قام بها مسؤل امن السيرفر SERVERات بالشركة
اولا تم فحص الواجهه الرئيسية بالموقع فاكتشفنا ان العميل كان يستخدم احدى المجلات المنتشرة اخيرا الشبيه بمجله عرب سيد و عرب ليونز
وتبين ان المجله مكتوبه بلغه PHP
بعد اتمام عمليه الفحص التقنى للمجله وتحليل الاكواد البرمجيه اكتشف فريق البحث بعض من الثغرات
الامنيه الموجودة بالمجله
وكان اكثر الثغرات التى اثارت انتباه الفريق كانت من نوع (inband/union query) احدى انوع حقن البيانات التى تؤثر بالمعلومات بملف validate.php
وهنا الكود code البرمجى المصاب
رمز PHP:
قام المبرمج باستخدم addslashes() مع اسم المستخدم وقام باستخدم md5() مع كلمه المرور ليقوم بتزويد السيرفر SERVER بتشفير كلمه السر
استخدم المبرمج ()str_replace للتهرب من علامه الاقتباس الفرديه والزوجيه بلا نفع
وهڈا يؤدى الى تنفيڈ استعلام خبيث يؤدى الى التحكم الكامل بقاعدة البيانات ومسح البيانات بداخلها
اقتباس
تم حجب الاستغلال بسب عدم استغلالها ضد المواقع الكثيرة المصابه
نرجو من الادارة تثبيت setup الموضوع بسبب الانتشار القوى للمواقع المصابه
ترقيع الثفرة مقدم من شركه مارفل سيرف
تحميل الترقيع من هنا
او بالمرفقات
ملحوظه : المجله تحتوى على العديد من الاخطاء البرمجيه
نحن فريق حماية السيرفر SERVERات بشركه مارفل سيرف نقوم بعمل فحص للموقع والتاكد ان ملفاته غير مصابة باى نوع من التغرات او باك دور
الموضوع الرسمى على موقعنا
ArabSeeds, ArabLionz Clone SQLinjection - MarvelServ
الملفات المرفقة [TR]
الترقيع.txt (2.1 كيلوبايت, عدد مرات المشاهدة 50 مرة) [/TR]
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى©
المواضيع المتشابهه
-
بواسطة loulou ange في المنتدى القسم الإسلامي العام
مشاركات: 0
آخر مشاركة: 11-02-2013, بتوقيت غرينيتش 05:06 AM
-
بواسطة admin في المنتدى لغات البرمجه للويب
مشاركات: 0
آخر مشاركة: 11-01-2013, بتوقيت غرينيتش 04:43 PM
-
بواسطة linnou في المنتدى القسم العام لتطوير المواقع
مشاركات: 0
آخر مشاركة: 11-01-2013, بتوقيت غرينيتش 03:29 AM
-
بواسطة admin في المنتدى القسم العام لتطوير المواقع
مشاركات: 0
آخر مشاركة: 10-31-2013, بتوقيت غرينيتش 11:24 PM
-
بواسطة loulou ange في المنتدى تعريفات مشاكل و حلول أجهزة و ملحقات الحاسوب
مشاركات: 0
آخر مشاركة: 10-19-2013, بتوقيت غرينيتش 08:27 PM
ضوابط المشاركة
- لا تستطيع إضافة مواضيع جديدة
- لا تستطيع الرد على المواضيع
- لا تستطيع إرفاق ملفات
- لا تستطيع تعديل مشاركاتك
-
قوانين المنتدى