تاريخ التسجيل: 2006-07-26
الدولة: المملكة العربية السعودية
العمر: 38
المشاركات: 3,665
التقييم: 858
|
تاريخ التسجيل: 2006-07-26
الدولة: المملكة العربية السعودية
العمر: 38
المشاركات: 3,665
التقييم: 858
ثغرة من نوع Xss في مكتبة الجوال [كيفية الترقيع]
السلام عليكم ورحمة الله وبركاته
ثغرة من نوع XSS في مكتبة الجوال
للقضاء على هذه الثغرة مؤقتا لحين انزال النسخة المحدثة قم بالتالي افتح ملف config.inc.php وتحت العلامة <?php
ضيف الكود التالي قم بنسخه ووضعه في الملف المذكور config.inc.php
كود PHP:
foreach ($_GET as $secvalue) { if ((eregi("<[^>]********************\"?[^>]*>", $secvalue)) || (eregi("<[^>]*object*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*iframe*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*meta*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*style*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*form*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*img*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*no*******************\"?[^>]*>", $secvalue)) || (eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*vb*******************\"?[^>]*>", $secvalue)) || (eregi("<[^>]*embed*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*frame*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*style*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*frameset*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*html*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*body*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*!DOCTYPE*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*form*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*link*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*title*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*title*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*bgsound*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*layer*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*XSS*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*background*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*mocha*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*live*******************\"?[^>]*>", $secvalue)) || (eregi("\([^>]*\"?[^)]*\)", $secvalue)) || (eregi("\"", $secvalue))) { die ("توكل على الله..."); } } foreach ($_POST as $secvalue) { if ((eregi("<[^>]********************\"?[^>]*>", $secvalue)) || (eregi("<[^>]*object*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*iframe*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*meta*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*style*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*form*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*img*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*no*******************\"?[^>]*>", $secvalue)) || (eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*vb*******************\"?[^>]*>", $secvalue)) || (eregi("<[^>]*embed*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*frame*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*style*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*frameset*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*html*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*body*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*!DOCTYPE*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*form*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*link*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*title*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*title*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*bgsound*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*layer*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*XSS*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*background*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*mocha*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*live*******************\"?[^>]*>", $secvalue)) || (eregi("\([^>]*\"?[^)]*\)", $secvalue)) || (eregi("\"", $secvalue))) { die ("توكل على الله..."); } }
على جميع من ركب مكتبة الجوال حذف الملف التالي myhtml.php وذلك لأن هذا الملف قد يتسبب في اختراق الموقع بالكامل
واتمنى التعاون وإخبار كل من تعرفه من مستخدمي مكتبة الجوال وتنبيه بحذف الملف myhtml.php
جزيل الشكر
منقول من المركز العربى للبرمجة والتصميم
eyvm lk k,u Xss td l;jfm hg[,hg F;dtdm hgjvrduD
|