خب ای تی چت یه سری مشکلاتی داره اما بدترین مشکل ان پسورد نداشتن پنل مدیریت میباشد و فایل های که در مسیر اصلی قرار دارن
برای مثال وقتی با اکانت مدیریت وارد چت روم بشیم پسوردی برای ورود به پنل نیمخوادو با استفاده از کوکی و درجه ی که لاگین کردیم محاسبه میکنه و لینک پنل میده
اما خب چرا این لینک رو به ما میده؟ چون : در فایل جی اس مربوط به داخل چت روم یک خط مربوط به منو مدیریت هست به این شکل :
// Adminbereich
if (self.userPrivilegienGlobal==”gast”){
$(“form_right”).innerHTML+=”“;
$(“link_admin”).onclick = function(){
var hoehe = $(‘chatinhalt’).getHeight();
var breite = $(‘chatinhalt’).getWidth();
var win_admin = new Window({url: “./?AdminIndex”, className: self.win_style, width:breite, height:hoehe, top:20, left:10, resizable: true, showEffect:Effect.Appear, hideEffect: Effect.Fade, showEffectOptions: {duration:0.5}, hideEffectOptions: {duration:0.5}, draggable: true, minimizable: true, maximizable: true, destroyOnClose: true });
//win_prop.maximize();
win_admin.show();
}
}
خب این یعنی وقتی اگه کسی که لاگین کرد و درجه ی مدیریت داشت پنل مدیریت لینکش داخل چت روم اضافه بشه که بنده توی لوکال بلاخره بعد تست های بسیار زیاد تونستم دور بزنم این قسمت را !!(تا حالا کسی این کارو نتونسته)
مورد بعدی اینکه طرف اگه کمی وارد باشه میتونه با استفاده از مهندسی اجتماعی پسورد ادمین رو بزنه ویا اگه بتونه کوکی های ادمین رو بزنه بازم کارای زیادی میشه باهاش کرد
مورد بعدی هم در مورد اسنیف کردن ادمین ها و ناظر هاست (که توضیحات زیاد میشه اینجا نمیشه بگیم)
خب جدیدا یک اکسپلویتی که بیرون اومده و میشه باهاش شل اپلود کرد در این مسیر
www.domain.com/styles/admin_tpl/createNewSmilies.tpl
و از این مسیر شل اپلود میکنن که بهش میگن باگ rfu
البته من تست نکردم شاید باگ xss هم داشته باشن
خب برای مقابله با این روش شما باید سطرح دسترسی پوشه شکلک را از حالت ۷۷۷ در بیارید و بزارید روی ۷۵۵ و داخل تمامی فایل ها و htaccess را نیز
روی ۶۴۴ بگذارید
حالا برای اینکه این مسیر رو ببندیم میاییم رو پوشه admin_tpl پسورد میزاریم )protect password)
بعد از انجام این کار بازم کارای دیگه ای هم میتوانید بکنید
داخل admin_tpl فایل index را باز کرده واز داخل ان میتوانید محدودیت های زیادی اعمال کنید بطوری که وقتی که حتی با اکانت مدیریت وارد چت روم شد از اومدنش پشیمون بشه (یعنی هیچ تغیراتی نتونه بده) اما حذف کردن قسمت اپلود شکلک و قسمت تنظیمات عمومی چت تا حد ۹۹% جلوی اپلود شل را میگیره
نکته مهم: ما اینجا تا جایی که میشه آموزش های مفید و کاربردی مینویسم و تا حد ممکن از آموزش خرابکاری و هک چت روم پرهیز میکنیم و خوشحالم شما دوستان این سایت رو به بقیه دوستانی که روم هاشون مشکل دارن معرفی کنید.
شنیدم بعد تهیه فیلم اموزشی بستن لیست در همین سایت وراه مقابله با ان . افراد مزاحم با یادگیری این روش رفتن و چت روم های مردم را اذیت کردند و به جای که این سایت رو به دیگران معرفی کنن خودشون راه مقابله را از اینجا رایگان یاد میگیرن و میرن روم مردم اذیت میکنن و ازشون پول میگیرن راهشو ببندن
پس دوستان لطفا در خواست اموزش هک ندید دیگه چون از فیلم قبلی ما سو استفاده های زیادی شد
با از این به بعد بیشتر روی بالا بردن امنیت چت روم آموزش خواهیم نوشت
اس ام اس های دلشکسته