هاست لینوکس

آخرین بسته‌ی MyBB: نسخه‌ی 1.8.27 MyBB منتشر شد


امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 5
  • 1
  • 2
  • 3
  • 4
  • 5
.:::: تاپیک آموزش امنیت و راههای مقابله با هک :::.
#21
بله مشکل قابل حل میباشد اما مثل اینکه نسخه جدید اومده .

http://community.mybbiran.com/thread-10319.html

این نسخه رو هنوز بررسی نکردم .
زندگی با امنیت زیباست .

مشاوره امنیتی رایگان برای انجمن mybb کاربران عزیز



contact : hosseinxpr@gmail.com
پاسخ
 سپاس شده توسطFarhoodi (۱۳۹۲/۱۲/۱۴، ۰۲:۴۵:۰۷ صبح)
#22
سلام

مدت زیادی دنبال هش کردن پسورد های Mybb بودم ولی هر راهی که فکرشو بکنید انجام دادم نشد که نشد

بعدش به این نتیجه رسیدم که قابل هش نیست !! چون اگه بود هنگام تبدیل به ویبولتن پسوردها هم تبدیل میشد

اگه اشتباه میکنم و قابل هش هست یه روش مناسب برای این کار معرفی میکنید ؟
پاسخ
#23
تاپیک های قبلی زده شدن و بسته شدن.ممنوع اعلام شد.پس فکر نکنم مدیرا در این مورد راهنمایی کنن.
نصب و آپدیت انجمن مای بی بی | پلاگین و پوسته | تغییرات داخلی انجمن
نصب و بروزرسانی وردپرس طراحی پوسته های وردپرسی سبک با سئوی بالا
شخصی سازی پوسته های مای بی بی و وردپرس
طراحی سیستم مدیریت محتوای اختصاصی و خاص با برترین زبان های برنامه نویسی دنیا
جهت سفارش در تلگرام: firstboy000@
پاسخ
#24
برای هش کردن پسورد های یک اسکریپت یا همین مای بی بی نیاز داری بدونی الگوریتم هش اون چطور هست .

امکان داره یه salt خواص براش تعریف شده باشه و یا حتی پسورد چندین بار هش بشه !

salt یک امکان امنیتی برای برنامه نویسان هست که برای بالا بردن امنیت نگه داری پسورد ها در دیتابیس استفاده میشه .

برنامه نویس میتونه Salt رو در md5 و hash کردن استفاده کنه تا اگر یه روز دیتابیس اون از طریق حملات امنیتی مختلف به دست هکر افتاد به این راحتی ها نتونه کرکش کنه . بعضی از افراد هم هستن که در اسکریپت ها کلا hash استفاده نمیکنن که تکلیف اونا دیگه معلومه Big Grin

مثالی که میتونم بزنم هش وردپرس در مقابل هش عادی md5 هست :

کد:
$P$Bp.ZDNMM98mGNxCtHSkc1DqdRPXeoR.

هش عادی :

کد:
0349e1b82f0e13d8088d6cdfe2b2eb67


این عمل وقتی انجام میشه که یک رشته به نحوه hash کردن اضافه بشه همون salt

همه اینا رو گفتیم که در نهایت بهت بگیم اگر دنبال encryption password در MYBB هستی باید دنبال salt اون باشی :

و جوینده یابنده هست ...

کد:
class DB
{
    var $connection;
    var $started;

    function start()
    {
        global $MySQL_Host, $MySQL_User, $MySQL_Pass, $MySQL_DB;

        $this->connection = mysql_connect( $MySQL_Host, $MySQL_User,     $MySQL_Pass );
        mysql_select_db( $MySQL_DB, $this->connection );
    }

    function query( $query )
    {
        $result = mysql_query( $query, $this->connection );

        if( $result )
        {
            return mysql_fetch_full_result_array( $result );
        }
        else
        {
            return $result;
        }
    }

    function end()
    {
        mysql_close( $this->connection );
    }

    function isStarted()
    {
        return $started;
    }
}

function mysql_fetch_full_result_array( $result )
{
    $table_result = array();
    $r = 0;

    if( $result === true )
    {
        return $result;
    }

    if( mysql_num_rows( $result ) == 0 )
    {
        return $result;
    }

    while( $row = mysql_fetch_assoc( $result ) )
    {
        $arr_row = array();
        $c = 0;

        while ( $c < mysql_num_fields( $result ) )
        {      
            $col = mysql_fetch_field( $result, $c );  
            $arr_row[ $col -> name ] = $row[ $col -> name ];          
            $c++;
        }  

        $table_result[ $r ] = $arr_row;
        $r++;
    }  

    return $table_result;
}


class Login
{

    function CheckLogin( $username, $password )
    {
        $db = new DB();
        $db->start();

        $query = "SELECT uid, password, email FROM mybb_users WHERE username='".$username."' AND password='".md5(md5($salt).md5($password))."';";

        $result = $db->query( $query );

        $db->end();

        if( $result == false )
            return false;
//             fwrite($fh, $result);
//             fclose($fh);


        if( md5(md5($salt).md5($password)) == $result[ 0 ][ 'password' ] )
        {
            return array( 'uid' => $result[ 0 ][ 'uid' ],
                          'mail' => $result[ 0 ][ 'email' ],
                          'user' => $username
                        );
        }
    }
}

بیشتر از این دیگه اینجا ممنوعه .

کد:
if( md5(md5($salt).md5($password)) == $result[ 0 ][ 'password' ] )

سوال دیگه بود پیام خصوصی در خدمتیم .

با تشکر
زندگی با امنیت زیباست .

مشاوره امنیتی رایگان برای انجمن mybb کاربران عزیز



contact : hosseinxpr@gmail.com
پاسخ
 سپاس شده توسطGh-Moradi (۱۳۹۳/۱/۱۳، ۰۰:۰۸:۴۲ صبح) ، firstboy000 (۱۳۹۳/۲/۵، ۱۳:۵۴:۳۹ عصر)
#25
ChangUonDyU Chatbox یک پلاگین برای انجمن ساز مای بی بی میباشد که پسورد ورود به پنل مدیریتش داخل فایل config.php داخلی پلاگین میباشد ، پسورد پیشفرض اون 123456 هست و خیلی ها فراموش میکنند این پسورد را تغییر بدهند ، حتی مورد داشتیم از چت روم استفاده میکرده و کلا از وجود کنترل پنل chatbox خبر نداشته :d

لینک دانلود پلاگین : http://community.mybbiran.com/thread-9380.html

کد:
The Default Password Of ChangUonDyU Chatbox 3.6.0

123456

Google dork: inurl:chatbox/tools.php



How To Secure :

Change The Default Password 123456 In Config.php Of Chatbox Smile

$config['password_tools'] = '123456'; // Password for tools.php

Demo

کد:
http://forum.viet-teen.com/chatbox/tools.php

ویدئو برای تشریح بهتر :

http://www.aparat.com/v/Oyks2


قبل از استفاده از این پلاگین ابتدا به مسیر root/chatbox برین و فایل کانفیگو ویرایش کنید خط 20 پسورد پیشفرض ورود به کنترل پنل قرار داره اونو تغییر بدید پریمیشین این فایل رو هم به 644 تغییر بدید .

کد:
$config['password_tools'] = '123456'; // Password for tools.php
زندگی با امنیت زیباست .

مشاوره امنیتی رایگان برای انجمن mybb کاربران عزیز



contact : hosseinxpr@gmail.com
پاسخ
 سپاس شده توسطmotorola30 (۱۳۹۳/۲/۳، ۱۹:۵۲:۴۲ عصر) ، SAEED.M (۱۳۹۳/۲/۳، ۲۲:۱۲:۰۵ عصر) ، firstboy000 (۱۳۹۳/۲/۵، ۱۳:۵۴:۳۵ عصر)
#26
سلام خسته نباشید
اساتید گرامی لطفا به انجمن من بیاید و در قسمت اخر انجمن همون جای که می نویسه کاربران فعال در 2880 دقیقه گذشته رو ببینید نامی رو دیدم که کاربر نیسیت به اسم Alexa Internet این کیه چرا اینو نوشته
پاسخ
#27
(۱۳۹۳/۳/۲۸، ۱۵:۵۷:۰۴ عصر)hanaisite نوشته است: سلام خسته نباشید
اساتید گرامی لطفا به انجمن من بیاید و در قسمت اخر انجمن همون جای که می نویسه کاربران فعال در 2880 دقیقه گذشته رو ببینید نامی رو دیدم که کاربر نیسیت به اسم Alexa Internet این کیه چرا اینو نوشته

دوست من Alexa Internet همون ربات سایت آلکسا هست که داره انجمن شما رو بررسی میکنه. این ربات هیچ مشکل امنیتی ای نداره. نگران نباشید.
سپاس.


[تصویر:  76041528073893930429.gif]

پاسخ
 سپاس شده توسطMr.mohammad (۱۳۹۳/۳/۲۸، ۱۹:۴۰:۰۱ عصر) ، firstboy000 (۱۳۹۳/۳/۲۸، ۲۰:۴۰:۲۸ عصر) ، hanaisite (۱۳۹۳/۳/۲۹، ۰۰:۰۲:۳۵ صبح) ، MR.XpR (۱۳۹۳/۳/۳۰، ۲۲:۲۵:۲۹ عصر)
#28
واقعا این تاپیک خیلی خوب و مفیدیه اگر استارتر عزیز وقت دارن ادامه بدن Heart
پاسخ
 سپاس شده توسطMR.XpR (۱۳۹۳/۱۲/۱۶، ۱۹:۲۶:۵۰ عصر) ، شماره مجازی (۱۴۰۱/۸/۲۶، ۰۱:۵۴:۴۶ صبح) ، گراف مسنجر (۱۴۰۱/۱۰/۳، ۰۴:۱۶:۳۴ صبح) ، چارتر ۴۲۴ (۱۴۰۲/۹/۱۲، ۱۵:۱۸:۴۵ عصر)


پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان