Gestion de Contenu, de Communauté et de groupes de travail collaboratif - Open Source, français, sécurisé, stable et performant

  • MODULES

    Pour étendre les nombreuses fonctionnalités disponibles de base - modules.npds.org est à votre disposition.

    Des modules complémentaires, une communauté de développeurs active, des forums pour vos questions ... NPDS  est aussi une plateforme de développement !
  • STYLES

    Vous cherchez des thèmes graphiques pour votre portail ou votre communauté : styles.npds.org est à votre disposition.

    Des thèmes du plus simple au plus sophistiqué. Des thèmes facilement modifiables et toujours en Open-Source - Laissez simplement parler votre imagination !
  • BIBLES

    La documentation indispensable pour personnaliser et exploiter toute la puissante de NPDS  est à votre disposition sur bible.npds.org.

    Vous pouvez participer à l'effort de documentation - rien de plus simple : contactez un membre de la Team de développement et nous vous ouvrirons un compte sur le Wiki !
Devenir membre    |    Identifiant : Mot de Passe : -
Au delà de la gestion de contenu 'classique', NPDS met en oeuvre un ensemble de fonctions spécifiquement dédiées à la gestion de Communauté et de groupes de travail collaboratif.
Il s'agit d'un Content & Community Management System (CCMS) robuste, sécurisé, complet, performant et parlant vraiment français.

Gérez votre Communauté d'utilisateurs, vos groupes de travail collaboratif, publiez, gérez et organisez votre contenu grâce aux puissants outils disponibles de base.
  • Multi langues (Français, Anglais, Allemand, Espagnol, Chinois)
  • Respect des standards : UTF8, XHTML, CSS, ...
  • Système de blocs avancés
  • Installation et administration complète et centralisée
  • Editeur HTML intégré
  • Gestionnaire de fichier en ligne
  • Gestion des groupes de membres
  • Ecriture collaborative de documents (PAD)
  • Forums évolués
  • Mini-sites (pour les membres et les groupes de travail)
  • Chat temp réel
  • Système de News et de rubriques complet (édition, révision, publication)
  • ...
Gratuit et libre (Open-Source), développé en PHP, NPDS est personnalisable grâce à de nombreux thèmes et modules et ne requiert que quelques compétences de base.
NPDS Workplace - groupe de travail collaboratif
 NPDS WorkSpace - tous l'univers du travail collaboratif.
Modéré par : developpeur jpb Jireck 
Index du Forum » » Sécurité » » Nouvelle Faille que faire ?  
AuteurNouvelle Faille que faire ?
Anonyme
19853  

Anonyme
  Posté : 23-10-2005 12:44

Yop
il ya une nouvelle faille qui date de deux jours et toujours pas de patch :( ?
ici : http://www.milw0rm.com/id.php?id=1268
comment faire pour empecher l'epxloitation sans arretter lles inscriptions

  Citation   
developpeur
24581       
 

developpeur
  Posté : 23-10-2005 22:15

C'est une façon comme une autre d'annoncer un script exploitant non pas une faille mais une faiblesse peremttant une attaque de type DOS sur une site NPDS.

Le concepteur de ce script Perl à fait du bon travail mais l'utilisation de ce script sera rapidement logger par le site ... et je voudrais pas être à la place de celui qui va l'utiliser ...

Par exemple l'essai de ce script Il y a 2,3 jours sur npds.org est clairement dans mes logs ... avec l'IP de celui qui à lancé le .pl

Message édité par : developpeur


  Profil  E-mail  www  Citation   
Abimot
54    

Abimot
  Posté : 23-10-2005 22:29



Message édité par : Abimot / 06-10-2006 11:05


  Profil  Citation   
developpeur
24581       
 

developpeur
  Posté : 23-10-2005 22:45

En fait il n'y a pas vraimment besoin car le script de protection existe déja : url_protect.php

user.php utilise un formulaire alors que ce script post ces variables dans une url ... / donc en mettant en plus dans url_protect.php par example : &op=finish ... l'attaque tombe à l'eau.

$bad_uri_content=array(
// To Filter "Santy php WebWorm"
"rush",
"highlight",
"perl",
"chr(",
"pillar",
"visualcoder",
"&op=finish",

// To prevent SQL-injection, XSS ...
" union ",
" into ",
" select ",
" outfile ",
"/script",
"!document.cookie!",
"!url(!",
"!expression(!"
);
?>

De fait : url_protect est concu pour cela :: bloquer les attaques de Deni de service (à l'origine le ver santy pour phpBB).

Voilu

  Profil  E-mail  www  Citation   
Anonyme
19853  

Anonyme
  Posté : 24-10-2005 13:46

Apparement l'option permet de générer un fichier malicieux qui permettrait à un attaquant distant de lancer l'attaque à partir d'une autre personne, pour retrouver l'IP du véritable attaquant ca se ne serait point dans les logs, c'est chaud

  Citation   
developpeur
24581       
 

developpeur
  Posté : 24-10-2005 21:26

Certes mais en quoi cela est différent d'un réseau de Bots ? C'est typique d'une attaque de type DOS. et avec ou sans un script de ce genre ... bien peut de site résiste à un ApacheBench bien configuré !

Reste url_protect qui fera son travail.

  Profil  E-mail  www  Citation   
Anonyme
19853  

Anonyme
  Posté : 25-10-2005 20:55

yop
voila j'ai modifié mon fichier url_protect.php
mais ya rien qui change ,la faille est toujours la :( , ca s'arrette juste quand je supprime mon fichier user.php

  Citation   
aidadomicil
3011       

aidadomicil
  Posté : 25-10-2005 21:08

a l'install d'url_protect, tu as bien rajouté la ligne de code dans ton mainfile.php ?

  Profil  www  Citation   
developpeur
24581       
 

developpeur
  Posté : 25-10-2005 21:35

- tu est en quelle version de NPDS ?
- comment à tu installé url_protect ?

Une url pour voir ton site ?

  Profil  E-mail  www  Citation   
neo_machine
598      
 

neo_machine
  Posté : 26-10-2005 00:34

l'url ???

  Profil  www  Citation   
Achel_Jay
2691       
 

Achel_Jay
  Posté : 10-11-2006 12:12

un jour j ai dit une connerie à un type qui était ds la sécu : que se passerait t il si un pc répondait au 1/4 de tour à une DOS par ... une DOS ... y m'as dit que c'était pas possible et pour celà il me l'a montré devant moi vers mon pc qu était ds le réseau ... et y s'est pris une DOS => ça a foutu la merde ds la lan pcq y'avait des hub et pas des switch mdr ... comme quoi des fois fo même se méfier du matos des autres qd on se défend ...

  Profil  E-mail  www  Citation   
mrotta
423      

mrotta
  Posté : 14-11-2006 00:59

Tu peux théoriquement renvoyer un DOS en réponse à une attaque DOS, mais a certaines conditions.

Tu acceptes de saturer toi même ton réseau. Possible pour un PC perso qui ne fait rien, plus dur pour un site marchant.

Tu as moins d'attaquant que de capacité de riposte (c'est rarement le cas).

Tu es sur que tu peux répondre a ton DOS (ben oui, si le Deny Of Servie a marché, tu ne peux même plus répondre)

Et encore bien d'autres conditions.

La meilleurs méthode est d'ignorer le plus vite possible, vérification par un FW intelligent des différentes stratégies de DOS, et constitution d'access list à la volée pour les bloquer en amont de la zone démilitarisée.

  Profil  Citation   
  
Sauter à :

Temps : 0.0207 seconde(s)