Page 1 of 1
الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Thu Sep 30, 2010 3:38 pm
by opencartArab
السلام عليكم ورحمة الله وبركاته
اذا كنت تستخدم الاصدرات التالية للأوبن كارت:
1.4.8
1.4.9
1.4.9.1
فإنها تحتوي على ثغرة
CSRF
الخاصة بنظام التوكن عند تسجيل الدخول في لوحة التحكم
ولحل المشكلة بشكل سريع
افتح الملف على المسار التالي
admin\controller\common\login.php
وابحث في السطر رقم 15 عن
Code: Select all
$this->session->data['token'] = md5(rand(0, 15));
واستبدلها بالتالي
Code: Select all
$this->session->data['token'] = md5(mt_rand());
وإذا واجهتك أي مشكلة يمكنك استبدالها بالتالي
Code: Select all
$this->session->data['token'] = md5(rand());
[/size]
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Thu Sep 30, 2010 4:01 pm
by ma.sha.2008
أخي مني مالقي اللي تقول عليه في الملف
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Thu Sep 30, 2010 4:10 pm
by opencartArab
اعتقد انت تبحث في مجلد المتجر
ابحث في مجلد لوحة التحكم
admin
في المسار الرئيسي للسكربت
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Thu Sep 30, 2010 5:03 pm
by abou_saleh
فعلاً امس كنت اتصفح قسم الاستفسارات العامه الانجليزي ولقيت نفس الموضوع وسويتها
الحقيقة يوجد تفاعل جداً ممتاز لكم كل الشكر
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Thu Sep 30, 2010 5:09 pm
by ma.sha.2008
يا اخي قول لي كل شي من البداية للنهـاية
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Thu Sep 30, 2010 5:12 pm
by bahrain
امس جفت الموضوع في قسم الانجلينزي و تم التعديل
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Thu Sep 30, 2010 5:13 pm
by ma.sha.2008
تمت بنـاج ، ولله الحمد
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Thu Sep 30, 2010 8:14 pm
by ahmadfrhan
السلام عليكم ورحمة الله وبركاته
اولاً اشكرك اخي الكريم على التنبيه
و لاكن
كيف لي فحص هذه الثغره
وجدت انه مكتوب شرح طريقة استغلالها على احد الموقع وهي كالتالي
admin/view/****s cript/fckeditor/editor/filemanager/connectors/test.html
ولاكن جربتها على موقعي ولم يحدث شيئ مع اني لم اعمل كما قلت انت لسد الثغره و بعد ذلك
عملت بخطواتك لسدها
ولاكن اتمنى ان تشرح لي طريقة استغلالها وليس من تجربة المواقع ابي من تجربتك
هذا ما وجدته في مواقع كثيره ولاكن اضنه غير صحيح جربت ولم ينجح معي
-----------------------------------------------------------------------
السلام عليكم
اليوم معانا ثغرة تسمح لك برفع الشل على المواقع المصابة فيها
اخليكم مع الثغرة
تاريخ الثغرة
اقتباس:
2010-09-19]
>>>جديدة لحق حالك
رابط الثغرة
http://inj3ct0r.com/exploits/14126
شرح استغلال الثغرة
اولاً ادخل على العم جوجل وابحث عن الدورك
اقتباس:
Powered By OpenCart
مثل هيك
http://www.google.jo/search?hl=ar&ei...t&start=0&sa=N
وراح يطلعلك مواقع بالهبـــــــــــــــل
طريقة رفع شلك
بعد فتح اي موقع حط بعد عنوان الموقع
اقتباس:
admin/view/****s cript/fckeditor/editor/filemanager/connectors/test.html
مثال
موقعي انا مثلاً مصاب وهو
www.aaldwayma.com
بنحط بعد الموقع المراد اكلام هاذ
admin/view/****s cript/fckeditor/editor/filemanager/connectors/test.html
وبصير عنا مثل كذة
www.Aaldwayma.comadmin/view/****s cript/fckeditor/editor/filemanager/connectors/test.html
اول ما تفتح الصفحة راح تلقى مركز رفع
انظر على اليسار الفوق راح تلاقي ليست
اختر منها php و بعدها ارفع شلك
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Thu Sep 30, 2010 10:26 pm
by opencartArab
طبعا الطريقة اللي انت كتبتها غير صحيحة لأنها قديمة جداً وكانت للاصدارات القديمة قبل سنتين
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Fri Oct 01, 2010 12:50 am
by ahmadfrhan
نعم اخي اشكرك على الاجابه
فعلاً
هذا الموقع تم عمل الطريقه عليه
http://www.beadmonster.net/admin/view/j ... onnectors/
و هذا ما اردت التأكد منه انها لا تعمل على الاصدار الحالي
ولاكن آمل ان يكون سد الثغره نافع
واشكركم على هذا الموقع
لدي سؤال بخصوص التعريب
بخصوص الصلاحيات من يستطيع تعريبها لي
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Fri Oct 01, 2010 1:27 am
by lawz
يعطيكم ألف عااافيه ويجزاكم خير
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Fri Oct 01, 2010 3:07 am
by WebCraker
بارك الله فيك ياغالى
جزيل الشكر ,,
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Wed Dec 22, 2010 5:36 am
by bader rashed
بارك الله فيك ...
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Sat Feb 12, 2011 4:00 am
by hidden dragon
ما شاء الله
تم ترقيع الثغره يا غالى
وجزاك الله خيرا
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Sun Apr 10, 2011 2:31 pm
by lolo-shop
السلام عليكم
يعطيكم العافية
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Sun Aug 31, 2014 3:07 pm
by abady
ماذا عن نسخه 1.5.6.4
Re: الرجاء القراءة للأهمية : سد ثغرة بلوحة التحكم
Posted: Sun Aug 31, 2014 3:12 pm
by opencartArab
abady wrote:ماذا عن نسخه 1.5.6.4
المشكلة كانت للاصدارات القديمة فقط