.:::: تاپیک آموزش امنیت و راههای مقابله با هک :::.

[MR.XpR]

بله مشکل قابل حل میباشد اما مثل اینکه نسخه جدید اومده .

http://community.mybbiran.com/thread-10319.html

این نسخه رو هنوز بررسی نکردم .

[Farhoodi]

سلام

مدت زیادی دنبال هش کردن پسورد های Mybb بودم ولی هر راهی که فکرشو بکنید انجام دادم نشد که نشد

بعدش به این نتیجه رسیدم که قابل هش نیست !! چون اگه بود هنگام تبدیل به ویبولتن پسوردها هم تبدیل میشد

اگه اشتباه میکنم و قابل هش هست یه روش مناسب برای این کار معرفی میکنید ؟

[firstboy000]

تاپیک های قبلی زده شدن و بسته شدن.ممنوع اعلام شد.پس فکر نکنم مدیرا در این مورد راهنمایی کنن.

[MR.XpR]

برای هش کردن پسورد های یک اسکریپت یا همین مای بی بی نیاز داری بدونی الگوریتم هش اون چطور هست .

امکان داره یه salt خواص براش تعریف شده باشه و یا حتی پسورد چندین بار هش بشه !

salt یک امکان امنیتی برای برنامه نویسان هست که برای بالا بردن امنیت نگه داری پسورد ها در دیتابیس استفاده میشه .

برنامه نویس میتونه Salt رو در md5 و hash کردن استفاده کنه تا اگر یه روز دیتابیس اون از طریق حملات امنیتی مختلف به دست هکر افتاد به این راحتی ها نتونه کرکش کنه . بعضی از افراد هم هستن که در اسکریپت ها کلا hash استفاده نمیکنن که تکلیف اونا دیگه معلومه

مثالی که میتونم بزنم هش وردپرس در مقابل هش عادی md5 هست :

کد:

$P$Bp.ZDNMM98mGNxCtHSkc1DqdRPXeoR.

هش عادی :

کد:

0349e1b82f0e13d8088d6cdfe2b2eb67

این عمل وقتی انجام میشه که یک رشته به نحوه hash کردن اضافه بشه همون salt

همه اینا رو گفتیم که در نهایت بهت بگیم اگر دنبال encryption password در MYBB هستی باید دنبال salt اون باشی :

و جوینده یابنده هست ...

کد:

class DB
{
    var $connection;
    var $started;

    function start()
    {
        global $MySQL_Host, $MySQL_User, $MySQL_Pass, $MySQL_DB;

        $this->connection = mysql_connect( $MySQL_Host, $MySQL_User,     $MySQL_Pass );
        mysql_select_db( $MySQL_DB, $this->connection );
    }

    function query( $query )
    {
        $result = mysql_query( $query, $this->connection );

        if( $result )
        {
            return mysql_fetch_full_result_array( $result );
        }
        else
        {
            return $result;
        }
    }

    function end()
    {
        mysql_close( $this->connection );
    }

    function isStarted()
    {
        return $started;
    }
}

function mysql_fetch_full_result_array( $result )
{
    $table_result = array();
    $r = 0;

    if( $result === true )
    {
        return $result;
    }

    if( mysql_num_rows( $result ) == 0 )
    {
        return $result;
    }

    while( $row = mysql_fetch_assoc( $result ) )
    {
        $arr_row = array();
        $c = 0;

        while ( $c < mysql_num_fields( $result ) )
        {      
            $col = mysql_fetch_field( $result, $c );  
            $arr_row[ $col -> name ] = $row[ $col -> name ];          
            $c++;
        }  

        $table_result[ $r ] = $arr_row;
        $r++;
    }  

    return $table_result;
}


class Login
{

    function CheckLogin( $username, $password )
    {
        $db = new DB();
        $db->start();

        $query = "SELECT uid, password, email FROM mybb_users WHERE username='".$username."' AND password='".md5(md5($salt).md5($password))."';";

        $result = $db->query( $query );

        $db->end();

        if( $result == false )
            return false;
//             fwrite($fh, $result);
//             fclose($fh);


        if( md5(md5($salt).md5($password)) == $result[ 0 ][ 'password' ] )
        {
            return array( 'uid' => $result[ 0 ][ 'uid' ],
                          'mail' => $result[ 0 ][ 'email' ],
                          'user' => $username
                        );
        }
    }
}

بیشتر از این دیگه اینجا ممنوعه .

کد:

if( md5(md5($salt).md5($password)) == $result[ 0 ][ 'password' ] )

سوال دیگه بود پیام خصوصی در خدمتیم .

با تشکر

[MR.XpR]

ChangUonDyU Chatbox یک پلاگین برای انجمن ساز مای بی بی میباشد که پسورد ورود به پنل مدیریتش داخل فایل config.php داخلی پلاگین میباشد ، پسورد پیشفرض اون 123456 هست و خیلی ها فراموش میکنند این پسورد را تغییر بدهند ، حتی مورد داشتیم از چت روم استفاده میکرده و کلا از وجود کنترل پنل chatbox خبر نداشته :d

لینک دانلود پلاگین : http://community.mybbiran.com/thread-9380.html

کد:

The Default Password Of ChangUonDyU Chatbox 3.6.0

123456

Google dork: inurl:chatbox/tools.php



How To Secure :

Change The Default Password 123456 In Config.php Of Chatbox Smile

$config['password_tools'] = '123456'; // Password for tools.php

Demo

کد:

http://forum.viet-teen.com/chatbox/tools.php

ویدئو برای تشریح بهتر :

http://www.aparat.com/v/Oyks2


قبل از استفاده از این پلاگین ابتدا به مسیر root/chatbox برین و فایل کانفیگو ویرایش کنید خط 20 پسورد پیشفرض ورود به کنترل پنل قرار داره اونو تغییر بدید پریمیشین این فایل رو هم به 644 تغییر بدید .

کد:

$config['password_tools'] = '123456'; // Password for tools.php

[hanaisite]

سلام خسته نباشید
اساتید گرامی لطفا به انجمن من بیاید و در قسمت اخر انجمن همون جای که می نویسه کاربران فعال در 2880 دقیقه گذشته رو ببینید نامی رو دیدم که کاربر نیسیت به اسم Alexa Internet این کیه چرا اینو نوشته

[SAEED.M]

سلام خسته نباشید
اساتید گرامی لطفا به انجمن من بیاید و در قسمت اخر انجمن همون جای که می نویسه کاربران فعال در 2880 دقیقه گذشته رو ببینید نامی رو دیدم که کاربر نیسیت به اسم Alexa Internet این کیه چرا اینو نوشته

دوست من Alexa Internet همون ربات سایت آلکسا هست که داره انجمن شما رو بررسی میکنه. این ربات هیچ مشکل امنیتی ای نداره. نگران نباشید.
سپاس.

[Shahin X2]

واقعا این تاپیک خیلی خوب و مفیدیه اگر استارتر عزیز وقت دارن ادامه بدن

[IeDb]

سلام و درود.
ببخشید یک سوال دارم.
مای بی بی باگ جدید داده؟
سایت مدیر همین سایت Hossein Xpr عزیز,داخل زون اچ ثبت شده بود.پایینه به زبان انگلیسی چیزی نوشته بود که ترمش بی احترامی بود.
مثلا شما .... از قفس در رفته اید.دوره شما گدشته.ادعا دارید اما امنیت نه و ............
این چطور این کارو کرده؟
باگ جدید اومده؟
اگه باگ اومده بگید تا حل کنید.آبروی تیم های امنیتی با این کار رفته.امیدوارم زود پتچ شه.
میگن پلاگین بوده.من تاحالا پلاگینی ندیدم که زود سایت بیاد یک عالمه پست بذاره و فحش بده و ........ اصلا پلاگین که کارش این نیست.بعدش دلیل اگه پلاگین بوده دلیل استفادش چیه؟شما که به عنوان مدیر امنیت هستین و دیگه الان فعالیت ندارید,چرا اینطوری شده؟وقتی هم که فهمیدین همه فهمیدن توی زون اچ ثبت شده,زود ایمیل دادین پاک کردند.چون deface ننوشته بود.اما با این حرف هایی که پایین زده بود ..........

http://up.iedb.ir/uploads/iranhack1.jpg
http://up.iedb.ir/uploads/iranhack2.jpg

لطفا اگه باگی هست بگید تا پتچ کنیم.اگه نمیتونیم,لاگ هارو بدین تا پتچ کنیم.  
هرچه بگندد نمکش میزنیم.وای به ان روز که بگندد نمک

با اجازه مدیر ارشد و firestboy که دوستان خوب من هستند,,یعی میکنم اینجا فعالیت کنم و اگر کاری از دستم بر اومد در خدمت.اینجا بعد از هک شدن حسن آقا که میگن پلاگین بوده.اما دیگه همه اینجا با مای بی  بی کار کردن.بعد از اون دیگه تیمشون بسته شد و اینجا هم خوابید و هیچ فعالیتی نکرده اند
چندتا باگ اومده از mybb ,دوستان اگر اجازه بدن من بچرخونم.
اگر سوالی بود.بپرسین در همیدر خدمتم.

[HOssE!N-B]

بسیار عالی است که به دنبال مشکل و رفع آن هستید کار شما قابل تقدیر است لطفا" باگ ها را از طریق سایت اصلی گزارش دهید تا با انتشار نسخه های جدید مشکلات رفع شوند