السلام عليكم ورحمة الله وبركاته
ثغرة مجلد ال Install المدمرة
كثيرا من الاخوة عند تنصيبهم لبرنامج المنتدى ( VB) ينسون حذف مجلد او فولدر الانستول Install او يعمل على تغير اسم الفولدر ليكون مثلا Install342 ولا يعلمون بان هذا الملجد هو قنبلة موقوتة في منتداه وخاصة اذا كان المنتدى اصلا غير مرخص من الشركة اي تكون نسخة منزوعة كود التبيلغ .. عندها يستطيع اي --- بسيط الدخول على هذا الرابط
www.xxxxx.com/vb/install/upgrade1.php
حيث ان xxxx هو اسم موقعك
والتي عادة تطلب كود الترخيص ولكن في حالة ان المنتدى منزوع الكود سوف لن يطلب منه الكود وعندها يستطيع ال--- سحب قاعدة البيانات او سحب اي جدول من الجداول ... مثل جدول الاعضاء و المشاركات و كلمات السر( وان كانت مشفرة ) وغيرها
علاج هذه الثغرة
يتوجب عليكم ان تحذفوا هذا المجلد ( Install ) بكافة ملفاته وعدم تغيير اسمه وذلك لوجود برامج تستطيع من خلالها معرفة كل المجلدات لاي موقع وبهذه الحالة سيكون المجلد معروف مهما غيرت اسمه .
تحياتي لكم
08-05-2008, 03:52
العرض العادي
