المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : ثغرة في سكربت ImpEx المعروف الذي يقوم بعمليات الدمج والتحويل ,,, مهم للجميع


MIDO-EGYPT
2008-12-12, 03:22 PM
بسم الله الرحمن الرحيم

================================================

يا هلا والله بالغاليين ,, طبعاً الكل يعرف سكربت ImpEx وهو سكربت

مفيد جداً سواء في عمليات التحويل للمنتديات أو لدمج قواعد البيانات ,,, طيب بعد ما بحثت

في جوجل أشوف مواقع كثيرة ما قامت بحذف السكربت من على مواقعهم يعني مثلاً

راعي المنتدى يسوي عملية الدمج وينسى السكربت ولا يحذفه وبعد كم يوم يتم اختراق منتداه

ويفكر انها ثغرة في النسخه ومن هالكلام ,,, طيب خلونا نشوف معلومات عن الثغرة:-

================================================

الملفات المصابة في السكربت :-

ImpExModule.php
ImpExController.php
ImpExDisplay.php

----------------------

اصدارات المنتديات الي تتناسب مع الثغرة :-

VBulletin 3.5.1
VBulletin 3.5.2
VBulletin 3.5.4

----------------------

تاريخ الاكتشاف :-

12 / 4 / 2006

----------------------

نوع الثغرة :-

Remote File Inclusion

طبعاً هالنوع خطير جداً لأنه يسمح للمخترق بتنفيذ أوامر لينكس على السيرفر.

----------------------

الاستثمار:-

(( ما يهم )) http://traidnt.net/vb/images/smilies/shiny.gif

----------------------

الحل :-

بعد ما تسوي عملية دمج أو تحويل قم بحذف السكربت نهائي من موقعك والأفضل انك تسوي عملية الدمج

أو التحويل على سيرفر شخصي في جهازك وبعدين تركب قاعدة البيانات وهي طريقة آمنة 100% ....

هذا والله أعلم أرجو ان الفكرة وصلت يا اخوان ,,, وفي منتديات كثيرة تم اختراقها بسبب انها نسيت هالسكربت

على موقعهم وما كانوا عارفين وش السبب.

:)

منقوووول