Gestion de Contenu, de Communauté et de groupes de travail collaboratif - Open Source, français, sécurisé, stable et performant

  • MODULES

    Pour étendre les nombreuses fonctionnalités disponibles de base - modules.npds.org est à votre disposition.

    Des modules complémentaires, une communauté de développeurs active, des forums pour vos questions ... NPDS  est aussi une plateforme de développement !
  • STYLES

    Vous cherchez des thèmes graphiques pour votre portail ou votre communauté : styles.npds.org est à votre disposition.

    Des thèmes du plus simple au plus sophistiqué. Des thèmes facilement modifiables et toujours en Open-Source - Laissez simplement parler votre imagination !
  • BIBLES

    La documentation indispensable pour personnaliser et exploiter toute la puissante de NPDS  est à votre disposition sur bible.npds.org.

    Vous pouvez participer à l'effort de documentation - rien de plus simple : contactez un membre de la Team de développement et nous vous ouvrirons un compte sur le Wiki !
Devenir membre    |    Identifiant : Mot de Passe : -
Au delà de la gestion de contenu 'classique', NPDS met en oeuvre un ensemble de fonctions spécifiquement dédiées à la gestion de Communauté et de groupes de travail collaboratif.
Il s'agit d'un Content & Community Management System (CCMS) robuste, sécurisé, complet, performant et parlant vraiment français.

Gérez votre Communauté d'utilisateurs, vos groupes de travail collaboratif, publiez, gérez et organisez votre contenu grâce aux puissants outils disponibles de base.
  • Multi langues (Français, Anglais, Allemand, Espagnol, Chinois)
  • Respect des standards : UTF8, XHTML, CSS, ...
  • Système de blocs avancés
  • Installation et administration complète et centralisée
  • Editeur HTML intégré
  • Gestionnaire de fichier en ligne
  • Gestion des groupes de membres
  • Ecriture collaborative de documents (PAD)
  • Forums évolués
  • Mini-sites (pour les membres et les groupes de travail)
  • Chat temp réel
  • Système de News et de rubriques complet (édition, révision, publication)
  • ...
Gratuit et libre (Open-Source), développé en PHP, NPDS est personnalisable grâce à de nombreux thèmes et modules et ne requiert que quelques compétences de base.
NPDS Workplace - groupe de travail collaboratif
 NPDS WorkSpace - tous l'univers du travail collaboratif.
Modéré par : developpeur jpb Jireck 
Index du Forum » » Sécurité » » [Résolu] - test de hack sur npds avec un pote hacker
5 pages [ 1 | 2 | 3 | 4 | 5 ]
Auteur[Résolu] - test de hack sur npds avec un pote hacker
clembobo
14   

  Posté : 12-06-2002 14:42

bonjour

j'ai plusieurs potes hackers a ki g demandé de faire des tests sur le portail et celui ci s'est avéré plein de trous de sécurité.

on commence les détails :

- nimporte qui, par exemple peux écrire des messages sur le chat box avec nimporte quel pseudo (dans ce cas précis il a utilisé celui de l'admin)
- nimporte qui peut connaitre le chemin ou est le portail sur le disque dur du server en mettant des ' dans les liens par exemple script?action='principal
-> Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /usr/local/www/data.users/monsiteee/www/sdv.php on line 92
- nimporte qui, peut rajouter des news et plein dautre trucs

bon bref je vous ai cité que ca mais yen a plein dautre par exemple il a modifier mon fichier config.php sans avoir AUCUN mot de passe (admin, mysql, ftp) c'est bien que c'est une défaillance du portail.

plusieurs de ces actions ont été faites grace à la faille d'include, en effet il a inclut un fichier php qui été sur son site sur free.fr à un fichier de mon portail, et cela ajouter des données dans la base mysql.

Je te remercie de me répondre le + rapidement et de faire les patchs assez rapidement ou alors de sortir une nouvelle version completement sécurisée parce que de ce que j'ai vu ... c'est vraiment fiasco de failles (j'en veut pas a ton travail, je dit ca dans lintention de sécuriser le portail au plus vite pour que tout le monde soit - inquiet)

Aller a++ (et au passage tu pourrai détailler avec exactititude les CHMOD a appliquer sur tel ou tel fichier ? je pense que ce serait pas mal)

[ Message édité par : clembobo : 12-06-2002 14:43 ]

  Profil  
maitreya
166     

maitreya
  Posté : 12-06-2002 15:02

je pense plutot à un pb de configuration du serveur...

Je propose à tes potes d'essayer de modifier le config.php du site atoum-systems.fr
On en reparle ensuite.

@ +


[ Message édité par : maitreya : 12-06-2002 15:03 ]

  Profil  E-mail  www  
clembobo
14   

  Posté : 12-06-2002 15:14

bon ils ont pas le temps ce que je pe te dire c que le bug marche aussi chez toi
- Warning: Supplied argument is not a valid MySQL result resource in /data/web/Xa/Xt/Xo/atoum-systems.fr/public/www/portail/sdv.php on line 92

pour le reste je pense que le faille d'include est à reparer tres vite.

merci a++

  Profil  
maitreya
166     

maitreya
  Posté : 12-06-2002 15:21

nan moi ce que je veux c'est que tu modifie mon config.php et que tu me tienne au courant.
L'adresse exacte sur le serveur tu l'aura de toute facon quel que soit ce que tu mets dessus...


  Profil  E-mail  www  
clembobo
14   

  Posté : 12-06-2002 15:34

si tu ve dire qu'il nexiste pas de config.php chez toi et que tu la rennomé sous un autre nom bah je l'avais fait aussi et ca les a pas empeche de savoir comment il sappelle.

bon en fait ct pas un test quand il la fé sur mon site c parce ke je l'avait bien enervé :) je métais foutu ouvertement de sa gueule alros que je savais quil est très bon en hack. bref il veut pas pirater ton site ché pa si tu le connais : cgi[bin] de son ancien pseudo

mais bon je peut te dire que c'est pas une mauvaise config du serveur mais bel est bien un trou dans npds
bon en fait il s'est servi des messages privé pour inclure son fichier (à noter qu'il ma envoyé un message privé avec un pseudo alors kil n'a jamais été enregistré) encore un bug.

bon, developpeur je pense que la avec ces infos tu va pouvoir reparer tout ca et bon boulot a+++

[ Message édité par : clembobo : 12-06-2002 15:38 ]

  Profil  
maitreya
166     

maitreya
  Posté : 12-06-2002 15:35

nan y'a bien un config.php

à vous de le modifier...

je ve pas vous dire comment en plus !!!!

bouououou on veut pas me pirater ....

song je suis un mal AIIIIMEEEE.... /song

[ Message édité par : maitreya : 12-06-2002 15:37 ]

  Profil  E-mail  www  
developpeur
24581       
 

developpeur
  Posté : 12-06-2002 16:08

Bonjour,

1 - Pour ce qui est de la découverte du chemin ou est installé NPDS (ou n'importe quel script Php) est facile effectivement. supprimer ce genre de chose c'est intercepter TOUTES les erreurs potentielles et là c'est un boulot titanesque ! et qui n'as pas grande utilité car le moindre oubli ou le moindre rajout d'module, theme devient un casse-tête.

2 - si le portail est configuré pour que les anonymes puissent poster des news, des commentaires, des posts dans les forum, des chats .... effectivement n'importe qui peut faire n'importe quoi.

3 - pour ce qui est de l'include d'un fichier via les messages privés => je regarde

4 - je reste à l'écoute de toutes les remarques sur la sécurité de NPDS et si ton copain veux me joindre par email : developpeur@npds.org

A+

3 -

  Profil  E-mail  www  
developpeur
24581       
 

developpeur
  Posté : 12-06-2002 17:03

Pour les Messages à un membres : le Patch 2 sortira avec une modification sur cette fonction n'autorisant plus l'utilisation de php, javascript dans les MM ...

C'est dommage (car cela permettais de faire pleins de choses) mais c'est comme cela ...

  Profil  E-mail  www  
clembobo
14   

  Posté : 12-06-2002 17:58

en fait non le portail été configuré de facon a valider les news par l'admin avant publication mais il l'es as inséré avec linclude d'un fichier sur free qui contenu comme commande d'ajouter des donnees dans la base

toute son action a été basée sur le include c'est pour ca que j'insistec le défaut majeur.

merci a toi a++

  Profil  
developpeur
24581       
 

developpeur
  Posté : 12-06-2002 18:10

La commande include est utilisée 250 fois dans NPDS (2500 fois dans PhpNuke et PostN). Mais je ne vois pas de quel include tu parle.

L'include qui est fait dans module.php, dans le gestionnaire de bloc, dans les bannières pub ... ????

Sans cette précision je ne comprends pas !

  Profil  E-mail  www  
maitreya
166     

maitreya
  Posté : 12-06-2002 18:22

nan je pense à la méthode du cross site scripting

je t'envoie un im complet dessus

je pense qu'elle se situe en effet sur l'instant member message

je vous invite à mettre en commentaire la section
// instant_members_message();

dans le header.php de votre theme en attendant la P2

il faudra vérifier les autre fichiers tels que replypmsg et inclure des ereg ou desactiver totalement le html

C'est hyper lourd donc ca fait une raison de plus pour passer au mode session :-p

[ Message édité par : maitreya : 12-06-2002 19:18 ]

  Profil  E-mail  www  
clembobo
14   

  Posté : 12-06-2002 19:27

dsl ce connard m'a dit juste qu'il s'était servi de include() mais je sais pas ou :(
c un vrai enculer depuis hier soir il arrete pas de pirater mon site yaurai pas qque chose qui permettrai de bloker l'ip sur npds car tout ce quil fait est loggué sur le server

merci a++

  Profil  
maitreya
166     

maitreya
  Posté : 12-06-2002 19:31

change tes password et vire tous tes cookies en attendant qu'il se calme. ou alors utilise lynx sous le pingouin

t'as quoi comme serveur web ?
et si t'as assez de bande passante, balance lui une attaque DoS ca va le calmer ...




[ Message édité par : maitreya : 12-06-2002 19:32 ]

  Profil  E-mail  www  
clembobo
14   

  Posté : 12-06-2002 19:32

apache sous freebsd

  Profil  
maitreya
166     

maitreya
  Posté : 12-06-2002 19:33

t'as un shell dessus ?
sinon en php tu as des scripts de ce style :

if (getenv("HTTP_X_FORWARDED_FOR")){
$ip=getenv("HTTP_X_FORWARDED_FOR");
} else {
$ip=getenv("REMOTE_ADDR");
}


$blockedipfile = file("logs/ip.txt");
foreach($blockedipfile as $ipaddr){
$ipaddr = ereg_replace("\n","",$ipaddr);
if($ip == $ipaddr){
blocked();
}
}

...

function blocked() {
echo "<center><font face=\"Comic Sans MS,Arial,Helvetica\">Va te faire mettre connard....</font></center><p>\n";
exit;
}



dans toon fichier ip.txt tu mets l'ip du gars

@+



[ Message édité par : maitreya : 12-06-2002 19:45 ]

  Profil  E-mail  www  
Aller à la page : [ 1 | 2 | 3 | 4 | 5 ]
Sauter à :

Temps : 0.0166 seconde(s)