Gestion de Contenu, de Communauté et de groupes de travail collaboratif - Open Source, français, sécurisé, stable et performant

  • MODULES

    Pour étendre les nombreuses fonctionnalités disponibles de base - modules.npds.org est à votre disposition.

    Des modules complémentaires, une communauté de développeurs active, des forums pour vos questions ... NPDS  est aussi une plateforme de développement !
  • STYLES

    Vous cherchez des thèmes graphiques pour votre portail ou votre communauté : styles.npds.org est à votre disposition.

    Des thèmes du plus simple au plus sophistiqué. Des thèmes facilement modifiables et toujours en Open-Source - Laissez simplement parler votre imagination !
  • BIBLES

    La documentation indispensable pour personnaliser et exploiter toute la puissante de NPDS  est à votre disposition sur bible.npds.org.

    Vous pouvez participer à l'effort de documentation - rien de plus simple : contactez un membre de la Team de développement et nous vous ouvrirons un compte sur le Wiki !
Devenir membre    |    Identifiant : Mot de Passe : -
Au delà de la gestion de contenu 'classique', NPDS met en oeuvre un ensemble de fonctions spécifiquement dédiées à la gestion de Communauté et de groupes de travail collaboratif.
Il s'agit d'un Content & Community Management System (CCMS) robuste, sécurisé, complet, performant et parlant vraiment français.

Gérez votre Communauté d'utilisateurs, vos groupes de travail collaboratif, publiez, gérez et organisez votre contenu grâce aux puissants outils disponibles de base.
  • Multi langues (Français, Anglais, Allemand, Espagnol, Chinois)
  • Respect des standards : UTF8, XHTML, CSS, ...
  • Système de blocs avancés
  • Installation et administration complète et centralisée
  • Editeur HTML intégré
  • Gestionnaire de fichier en ligne
  • Gestion des groupes de membres
  • Ecriture collaborative de documents (PAD)
  • Forums évolués
  • Mini-sites (pour les membres et les groupes de travail)
  • Chat temp réel
  • Système de News et de rubriques complet (édition, révision, publication)
  • ...
Gratuit et libre (Open-Source), développé en PHP, NPDS est personnalisable grâce à de nombreux thèmes et modules et ne requiert que quelques compétences de base.
NPDS Workplace - groupe de travail collaboratif
 NPDS WorkSpace - tous l'univers du travail collaboratif.
Modéré par : developpeur jpb Jireck 
Index du Forum » » Sécurité » » [Résolu] - Faille Apache 1.3.23 et 2.0.28 (correctif)
2 pages [ 1 | 2 ]
Auteur[Résolu] - Faille Apache 1.3.23 et 2.0.28 (correctif)
daumal
209     

daumal
  Posté : 01-02-2004 02:35

Cette faille est présente sur les serveurs Apache 1.3.23(Win) et Apache 2.0.28 BETA(Win)



(voire aussi sur les versions 2.0.x).



Bien que datant de quelques temps (6-9 mois), il est encore possible de trouver des serveurs vulnérables.



Ces versions ont par défaut le fichier test-cgi.bat situé dans le dossier /cgi-bin/. C'est ce fichier qui est sensible à la faille présentée ici.



Lire la suite pour mieux comprendre...









Lorsqu'une requête de fichier batch (.cmd ou .bat) est envoyée au serveur web Apache, le serveur va lancer un interpréteur shell (par défaut cmd.exe) et va exécuter le script avec les paramètres que vous aurez indiqués.



En fait, le gros problème réside dans le fait qu'aucune vérification n'est faite lors de l'envoi de commande.



Il est donc possible d'envoyer le caractère pipe ("|") suivi de commandes au script CGI (le caractère pipe permet d'exécuter deux commandes à la suite).



Ainsi, l'interpréteur shell va exécuter ces commandes sans aucunes restrictions ni vérifications.



Cette faille est facile à exploiter, étant donné que le seul outil dont nous avons besoin est un navigateur.







Remarque: il est important de signaler que tous les noms de dossiers/fichiers sont ceux d'une configuration par défaut!







Passons maintenant à la pratique.







Je vais vous présenter quelques commandes afin que vous compreniez mieux les enjeux de cette faille.



Il est au préalable conseillé de connaître un minimum l'arborescence et les divers fichiers d'un serveur web Apache ainsi que les commandes batch.



Tout d'abord, il est possible de voir le fichier de configuration du serveur web Apache (conf/httpd.conf).



Pour ce faire, il va nous falloir copier ce fichier à la racine du site de cette manière:







http://www.toto.com/cgi-bin/test-cgi.bat?|copy+..confhttpd.conf+..htdocshttpd.conf







Remarque: le symbole "+" est interprété comme un espace. I



l est conseillé de copier le fichier à la racine du site (accessible par tous) pour le visualiser et non de le visualiser directement, ceci pouvant amener à une erreur.



Il est également possible de voir le contenu du disque dur C: par exemple. Nous allons créer un fichier contenant l'arborescence du DD dans le dossier htdocs.







http://www.toto.com/cgi-bin/test-cgi.bat?|dir+c:+>..htdocs est.txt











Vous pouvez aussi écrire dans un fichier grâce à la commande echo.


Source: Merci P41f0x -:- Team SH Member -
http://www.securityhack.net

Message édité par : daumal


  Profil  www  
Anonyme
19853  

Anonyme
  Posté : 28-02-2004 19:10

Il ne manquerait pas quelque chose, comme par exemple l'auteur (c'est à dire moi, P41f0x) ainsi que la source?

L'article au complet se trouve ici: http://www.securityhack.net/?page=apacheremote

Selon moi c'est le stricte minimum que de citer l'auteur et la source; c'est une question de respect envers la personne ayant écrit l'article ainsi qu'envers son travail.

A bon entendeurs...

P41f0x -:- SecurityHack Member

  
[-Jarod-]
1732       
 

[-Jarod-]
  Posté : 29-02-2004 18:09

Chuis bien d'accords... // Mode auto-censure activé...

donc suite a un mail de notre amis daumal, je dit que je suis bien d'accords avec l'idée de préciser la source et l'auteur a chaque fois qu'on fait du copier coller de quelque chose sur le net....

ce n'est pas une critique a ton encontre daumal, ce n'est pas méchant, c'est juste que c quelque chose que je trouve important, donc je dit que je suis d'accords avec le fait de le préciser.

Désolé si je n'ai pas été assez clair, mais encore une fois il n'y a la aucune méchanceté ni critique. Juste mon opinion....

[ Message édité par : cheekybilly : 29-02-2004 19:54 ]

  Profil  E-mail  www  
daumal
209     

daumal
  Posté : 29-02-2004 19:12

Suite a ce post, je tiens a signaler que j'ai l'acord de l'auteur.
L'origine de cet article est issu d'un mail et vous pouvez le trouver sur le Web.
Voici la réponse de l'auteur:

merci de vtre soutien, oui pour votre question :)

@+

Shad0w
admin de www.SecurityHack.net


  Profil  www  
laso
194     
 

laso
  Posté : 29-02-2004 19:18

salut a tous;

Dites moi c'est moi ou les gens son assez betes?

Ata ils se plaignent que la source n'est pas cité, mais,

leur site est fait avec quoi?
parceque si c'est du NPDS, moi pas vu
et si c'est du PhPnuke et bin pas vu nonplus
alors quand on utilise un CMS pour se vendre, faut citer la source aussi


je cite:
Selon moi c'est le stricte minimum que de citer l'auteur et la source; c'est une question de respect envers la personne ayant écrit l'article ainsi qu'envers son travail.

c'est mister p et je sais plus qui a ecrit ça

je reprends ses mots
Selon moi c'est le stricte minimum que de citer le CMS; c'est une question de respect envers les personnes ayant programmé le CMS ainsi qu'envers son travail.

ciao

[ Message édité par : lasoluce : 29-02-2004 19:22 ]

  Profil  E-mail  www  
laso
194     
 

laso
  Posté : 29-02-2004 19:50

Excusez moi mais

je viens de recevoir ce courrier,

Bonjour,

Suite a votre post :

http://www.npds.org/viewtopic.php?topic=9843&forum=12

Je pense qu'avant d'envoyer un commentaire de ce genre, il est plausible d'en connaître les origines.

Mon post est relatif aux sécurités des serveurs et failles pour le bien etre de tous afin d'informer les NPDStistes.

Ou est le mal, sinon que cet article est libre de droit sur le Web et, de plus, diffusé sur le www anonymement. Je pense que le but primordial de tous est d'informer les faits et méfaits qui concernent la sécurité de nos serveurs ou sites.
Outre cela, j'ai l'autorisation de l'auteur et, c'est une malcontreuse erreur des admins quant a ce post (voir réponse au post sur NPDS)

En attente à une rectification sur ledit post,

Amicalement,

ERCI Informatique



PS : Pas faché, mais surpris par ce post, j'attends une réponse sur le forum, pour le bien de tous.


Et la je me dit

?????????

pardon????

veut pas foutre la M..... moi mais juste chtite question...

C'est un CMS que vous utilisez ou pas?

si oui, pour quoi ne pas mettre le quel?

  Profil  E-mail  www  
daumal
209     

daumal
  Posté : 29-02-2004 19:56

Il s'agit de NPDS, le post et mon mail ne vous était pas destiné ....
le destinataire était Lecyb.org et non la soluce....
Il est probable qu'il s'agit d'une ERR sur ma list mail.
Merci de votre réponse tout de meme.
Mon but était d'informer les utilisateur d'Apache des failles existantes, et ceci pour tous.
A bientot.
A titre indicatif, voici l'email de leCyb.org
je viens de répondre.
désolé si mes propos ont été mal interprétés, tu as toutes l'explication sur npds.org.

toutes mes excuses

[-Jarod-]
Le dim 29/02/2004 à 19:41, DAUMAL Jean a écrit :
Il s'agit donc pour tous d'un simple malentendu et, continuons tous à faire progresser NPDS.
Amicalement a tous les NPDStistes.
ERCI Informatique


[ Message édité par : daumal : 29-02-2004 19:59 ]

  Profil  www  
laso
194     
 

laso
  Posté : 29-02-2004 20:00

ah

dac, grosse confusion dans le reseau

po grave

moi kool

et vous?

  Profil  E-mail  www  
daumal
209     

daumal
  Posté : 29-02-2004 20:03

De rien la Soluce, le but de tous est de faire progresser et connaitre NPDS au travers de toutes les formes, tant par l'évolution que par la sécurité.
Amicalement, ERCI Informatique

  Profil  www  
[-Jarod-]
1732       
 

[-Jarod-]
  Posté : 29-02-2004 20:14

Le jour ou je tirerai dans les pates d'un confrère NPDSien n'est pas près de se lever...

  Profil  E-mail  www  
daumal
209     

daumal
  Posté : 29-02-2004 20:24

La réciprocité est de meme cheekybilly.
Notre but est de faire évoluer NPDS par l'info, les addons, les scripts etc... et surtout la sécurité.
Le fer de lance de NPDS est bien sa sécurité et de ce fait toutes les infos qui concernent NPDS, Linux, Windows, Apache etc... sont admises pour la pléthore des NPDStistes et leur bien-etre sécurisé.
Il est loisible pour tout un chacun d'informer la communauté NPDS, quant à son évolution et ses failles, autant pour le CMS, le serveur, le Hack etc....
Amicalement et a bientot



  Profil  www  
developpeur
24581       
 

developpeur
  Posté : 29-02-2004 21:22

Tous est bien .... qui finit bien !

PS : "gardez toujours et citer les sources" ... c'est une question de reconnaissance tu travail d'autrui.


  Profil  E-mail  www  
Anonyme
19853  

Anonyme
  Posté : 08-08-2004 17:07

Citation : daumal 

Suite a ce post, je tiens a signaler que j'ai l'acord de l'auteur.

L'origine de cet article est issu d'un mail et vous pouvez le trouver sur le Web.

Voici la réponse de l'auteur:
jesuis un lamer



@+



Shad0w

admin de www.SecurityHack.net



 


  
Anonyme
19853  

Anonyme
  Posté : 08-08-2004 17:08

SECURITYHACK.NET biggest lamerz ever

  
P41f0x
1  

P41f0x
  Posté : 08-08-2004 19:07

Si tu en es si sûr, tu aurais au moins pu avoir le cran de signer... d'ailleurs je ne vois pas pourquoi tu viens polluer ce forum avec tes propos. Viens nous le dire directement.

A part ça, je tiens à remercier officiellement daumal de nous avoir linké sur son site :)

Bonne continuation à vous tous et à bientôt

P41f0x -:- Team SH Member

  Profil  www  
Aller à la page : [ 1 | 2 ]
Sauter à :

Temps : 0.0183 seconde(s)