معهد فور عرب التطويري



 
الرئيسيةبحـثالتسجيلدخولتسجيل دخول الاعضاء

شاطر | 
 

 [ثغره] بملف vBulletin 3.0.X init.php SQL Injection

اذهب الى الأسفل 
كاتب الموضوعرسالة
خ ــادم الإسلام
نائب المدير العام

نائب المدير العام
avatar

البلد :
الهوايه :
المهنه :
المزاج المزاج :
الجنس : ذكر
الابراج : العقرب
الأبراج الصينية : الديك
تاريخ الميلاد : 18/11/1993
العمر : 25
تاريخ التسجيل : 27/12/2010
عدد المشاركات : 679

مُساهمةموضوع: [ثغره] بملف vBulletin 3.0.X init.php SQL Injection   الأربعاء يناير 05, 2011 12:12 am

بسم الله الرحمن الرحيم


تم اكتشاف ثغره جديد في منتديات vb الجيل الثالث من قبل الاخ عندل


والثغره موجوده في ملف init.php وتحديداً في سطر 542 وهي ثغرة SQL Injection

ويتم نجاح هذه الثغره إذا كانت خاصية magic_quotes_gpc معطله OFF داخل الـ PHP .

التـــرقـــيـــع :

توجد طريقتين

الأولى :

إضافة السطر التالي في ملف .htaccess

php_value magic_quotes_gpc 1

الثاني/ بتعديل ملف init.php .

قم بالبحث عن

الكود:
$datastoretemp = $DB_site->query("
    SELECT title, data
    FROM " . TABLE_PREFIX . "datastore
    WHERE title IN ('" . implode("', '", $specialtemplates) . "')
");

unset($specials, $specialtemplates); 

واستبداله بالتالي
الكود:

if(!is_array($specialtemplates))
    exit;

$specialtemplate = array();
foreach ($specialtemplates AS $arrykey => $arryval)
{
    $specialtemplate[] = addslashes($specialtemplates["$arrykey"]);
}

$datastoretemp = $DB_site->query("
    SELECT title, data
    FROM " . TABLE_PREFIX . "datastore
    WHERE title IN ('" . implode("', '", $specialtemplate) . "')
");
unset($specials, $specialtemplates, $specialtemplate);


<br>
الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
[ثغره] بملف vBulletin 3.0.X init.php SQL Injection
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-
» boilers by hager mandour

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
معهد فور عرب التطويري  :: قسم تطوير المنتديات(vBulletin) :: ركـــن ثغـــرات النسخـــــه الثالثـــه-
انتقل الى: