|
Samx 372
| |
Samx 372
| Posté : 05-12-2006 17:05
... Il serait bon d'ajouter maintenant (vs plus tard) que ce type de scan cause certain désagrément comme un bon millier de courriels reçus suite à mon abonnement à tous mes topiques de forum et qu'un bon ménage (passe par le bd) doit être fait après le passage du bot puisqu’il inscrit des messages dans le forum (entre autres). Donc à tester uniquement sur votre portail TEST ... Désolé pour les quelques lecteurs parmi les 14 qui on lu et qui sont tentés par l'expérience.
A+ |  Profil www Citation
|
|
developpeur 24581
| Posté : 06-12-2006 17:54
Je ne sais pas quoi répondre parceque je ne connais pas ce service.
As-tu un rapport plus détaillé ?
Cross Site Scripting ---------------------------- 200
==> ce type d'attaque n'a que peut d'intérèt et effectivement NPDS ne filtre pas tous les champs contre ce type de chose
SQL injection -------------------------------------- 16
==> je demande à voir
User credentials are sent in clear text ---- 193
==> je pense au cookies mais ils cryptés
En gros ces robots ne vois que la surface des choses / removehack, la protection des cookies, la protection du graber ... ne sont même pas connues. il (le robot) liste une somme considérable de chose (comme un validateur W3C) mais est-ce véritablement exploitable ... c'est une autre histoire.
A ce stade je ne sais pas quoi rajouter / npds.org existe depuis maintenant 5 ans sans avoir été hacké. ce n'est pas une garantie mais en l'état actuel c'est le mieux que je puisse offrir.
A suivre |  Profil E-mail www Citation
|
|
Samx 372
| Posté : 07-12-2006 05:06
Pour ma part, je les trouve plutôt allarmiste.
De plus il ne back pas ce qu'il dise puisqu'il est impossible de voir le rapport complet avant d'acheter ...
La copie pdf est ici: http://stephtek.com/stephtek.pdf
Je me suis procuré une copie du logiciel que je lancerai en scan ce weekend. J'aimerais en savoir plus au sujet des 16 injections SQL. Je te donnerai les résultats en MI ici.
Si je me trompe pas, la dernière faille NPDSienne remonte à mai 2005 et elle a été corigée ... donc. A suivre.
A+
|  Profil www Citation
|
|
Cats 75
| Posté : 07-12-2006 05:20
Salut Dev,
Juste un petit mot pour donner ma propre expérience : j'ai ouvert mon site il y a 5 ans et je tournais alors sous Guppy, lui aussi très sécurisé mais j'avais ajouté un forum phpBB qui fut utilisé deux fois par des hackers pour des défaçages en règle, de phpBB d'abord puis de l'ensemble du site et d'autres sites sur le serveur ! Tout cela en six mois de temps et malgré la mise à jour régulière de phpBB.
Je suis passé à NPDS depuis trois années et je dois avouer que je vis le calme plat et c'est une chose qui n'a pas de prix.
Je suis certain que, vu le nombre de sites tournant sous NPDS (a-t-on déjà recensé combien ?), si le script ne possédait pas une base sécurisée hors du commun, nous serions déjà au courant depuis longtemps des problèmes et tu croulerais sous les réclamations !
Encore merci pour ton boulot.
|  Profil www Citation
|
|
developpeur 24581
| Posté : 07-12-2006 19:00
Merci pour les futures MI (cela me semble une sage précaution). Les SQL injections SONT les choses a regarder. Le reste n'est pas aussi important que le rapport le laisse entendre àmon sens (il faut bien qu'il vende leur service ...)
Merci en tous les cas
PS : merci cats pour ton merci |  Profil E-mail www Citation
|
|
Samx 372
| |
Jireck 8502
| |
developpeur 24581
| Posté : 19-12-2006 22:27
oui ! / j'ai télécharger ce que tu m'a fournis et je vais pouvoir regarder. Pour l'instant c'est plsutot de pas trop mauvaises nouvelles en somme |  Profil E-mail www Citation
|
|