Gestion de Contenu, de Communauté et de groupes de travail collaboratif - Open Source, français, sécurisé, stable et performant

  • MODULES

    Pour étendre les nombreuses fonctionnalités disponibles de base - modules.npds.org est à votre disposition.

    Des modules complémentaires, une communauté de développeurs active, des forums pour vos questions ... NPDS  est aussi une plateforme de développement !
  • STYLES

    Vous cherchez des thèmes graphiques pour votre portail ou votre communauté : styles.npds.org est à votre disposition.

    Des thèmes du plus simple au plus sophistiqué. Des thèmes facilement modifiables et toujours en Open-Source - Laissez simplement parler votre imagination !
  • BIBLES

    La documentation indispensable pour personnaliser et exploiter toute la puissante de NPDS  est à votre disposition sur bible.npds.org.

    Vous pouvez participer à l'effort de documentation - rien de plus simple : contactez un membre de la Team de développement et nous vous ouvrirons un compte sur le Wiki !
Devenir membre    |    Identifiant : Mot de Passe : -
Au delà de la gestion de contenu 'classique', NPDS met en oeuvre un ensemble de fonctions spécifiquement dédiées à la gestion de Communauté et de groupes de travail collaboratif.
Il s'agit d'un Content & Community Management System (CCMS) robuste, sécurisé, complet, performant et parlant vraiment français.

Gérez votre Communauté d'utilisateurs, vos groupes de travail collaboratif, publiez, gérez et organisez votre contenu grâce aux puissants outils disponibles de base.
  • Multi langues (Français, Anglais, Allemand, Espagnol, Chinois)
  • Respect des standards : UTF8, XHTML, CSS, ...
  • Système de blocs avancés
  • Installation et administration complète et centralisée
  • Editeur HTML intégré
  • Gestionnaire de fichier en ligne
  • Gestion des groupes de membres
  • Ecriture collaborative de documents (PAD)
  • Forums évolués
  • Mini-sites (pour les membres et les groupes de travail)
  • Chat temp réel
  • Système de News et de rubriques complet (édition, révision, publication)
  • ...
Gratuit et libre (Open-Source), développé en PHP, NPDS est personnalisable grâce à de nombreux thèmes et modules et ne requiert que quelques compétences de base.
NPDS Workplace - groupe de travail collaboratif
 NPDS WorkSpace - tous l'univers du travail collaboratif.
Modéré par : developpeur jpb Jireck 
Index du Forum » » Sécurité » » Mon rapport Acunetix  
AuteurMon rapport Acunetix
Samx
372      

Samx
  Posté : 05-12-2006 14:33

Voici l'état de mon rapport (plus bas) :
Ce rapport semble démontre que mon portail NPDS est vulnérable aux hackers.
Votre avis plz

Cross Site Scripting ---------------------------- 200
SQL injection -------------------------------------- 16
Backup files --------------------------------------- 200
User credentials are sent in clear text ---- 193
Broken links -------------------------------------- 38
TRACE Method Enabled ------------------------ 1
URL redirection ----------------------------------- 3
Possible sensitive directories --------------- 26
Possible sensitive files ------------------------ 7
Files listed in robots.txt but not linked ---- 9
Email address found ---------------------------- 200
GHDB ------------------------------------------------- 7


Ce qui me trouble le plus est le Cross site scripting et le SQL injection
Ce rapport est partiel puisque le site Acunetix vend ses services.
Vous pouvez tester votre site sur: http://www.acunetix.com/ ... Compter au moins 3 jrs avant le résultat.

A+

Message édité par : Samx / 05-12-2006 14:49


  Profil  www  Citation   
Samx
372      

Samx
  Posté : 05-12-2006 17:05

... Il serait bon d'ajouter maintenant (vs plus tard) que ce type de scan cause certain désagrément comme un bon millier de courriels reçus suite à mon abonnement à tous mes topiques de forum et qu'un bon ménage (passe par le bd) doit être fait après le passage du bot puisqu’il inscrit des messages dans le forum (entre autres). Donc à tester uniquement sur votre portail TEST ... Désolé pour les quelques lecteurs parmi les 14 qui on lu et qui sont tentés par l'expérience.

A+

  Profil  www  Citation   
developpeur
24560       
 

developpeur
  Posté : 06-12-2006 17:54

Je ne sais pas quoi répondre parceque je ne connais pas ce service.

As-tu un rapport plus détaillé ?

Cross Site Scripting ---------------------------- 200
==> ce type d'attaque n'a que peut d'intérèt et effectivement NPDS ne filtre pas tous les champs contre ce type de chose
SQL injection -------------------------------------- 16
==> je demande à voir
User credentials are sent in clear text ---- 193
==> je pense au cookies mais ils cryptés

En gros ces robots ne vois que la surface des choses / removehack, la protection des cookies, la protection du graber ... ne sont même pas connues. il (le robot) liste une somme considérable de chose (comme un validateur W3C) mais est-ce véritablement exploitable ... c'est une autre histoire.

A ce stade je ne sais pas quoi rajouter / npds.org existe depuis maintenant 5 ans sans avoir été hacké. ce n'est pas une garantie mais en l'état actuel c'est le mieux que je puisse offrir.

A suivre

  Profil  E-mail  www  Citation   
Samx
372      

Samx
  Posté : 07-12-2006 05:06


Pour ma part, je les trouve plutôt allarmiste.
De plus il ne back pas ce qu'il dise puisqu'il est impossible de voir le rapport complet avant d'acheter ...
La copie pdf est ici: http://stephtek.com/stephtek.pdf

Je me suis procuré une copie du logiciel que je lancerai en scan ce weekend. J'aimerais en savoir plus au sujet des 16 injections SQL. Je te donnerai les résultats en MI ici.

Si je me trompe pas, la dernière faille NPDSienne remonte à mai 2005 et elle a été corigée ... donc. A suivre.

A+

  Profil  www  Citation   
Cats
75    

Cats
  Posté : 07-12-2006 05:20

Salut Dev,

Juste un petit mot pour donner ma propre expérience : j'ai ouvert mon site il y a 5 ans et je tournais alors sous Guppy, lui aussi très sécurisé mais j'avais ajouté un forum phpBB qui fut utilisé deux fois par des hackers pour des défaçages en règle, de phpBB d'abord puis de l'ensemble du site et d'autres sites sur le serveur ! Tout cela en six mois de temps et malgré la mise à jour régulière de phpBB.

Je suis passé à NPDS depuis trois années et je dois avouer que je vis le calme plat et c'est une chose qui n'a pas de prix.

Je suis certain que, vu le nombre de sites tournant sous NPDS (a-t-on déjà recensé combien ?), si le script ne possédait pas une base sécurisée hors du commun, nous serions déjà au courant depuis longtemps des problèmes et tu croulerais sous les réclamations !

Encore merci pour ton boulot.


  Profil  www  Citation   
developpeur
24560       
 

developpeur
  Posté : 07-12-2006 19:00

Merci pour les futures MI (cela me semble une sage précaution). Les SQL injections SONT les choses a regarder. Le reste n'est pas aussi important que le rapport le laisse entendre àmon sens (il faut bien qu'il vende leur service ...)

Merci en tous les cas

PS : merci cats pour ton merci

  Profil  E-mail  www  Citation   
Samx
372      

Samx
  Posté : 19-12-2006 14:59

Après étude des 15 SQL Injection que j'obtiens dans mon rapport, je constate que ce ne sont que des warnings et qu’ils sont inexploitables. ... Je les ai tous testés chez moi.

Pour ce dernier test (avant les nombreux autres à venir ...), j'ai intégré à mon portail les fichiers anti-spam.zip disponible dans la zone de téléchargement NPDS. Je suis heureux de constater que mon bot acunetix ne ma pas généré un seul message par mes forum auquel je suis abonné. Dans les 2 scans précédents, j'avais reçu plus de 1000 courriels.

J'ajoute qu’Acunetix est un logiciel propriétaire mais qu'il a été construit avec des projets libres dont voici la liste des liens utiles:

OpenSSL Project http://www.openssl.org The product contains and uses unmodified version of OpenSSL 0.9.7c.

PCRE Wrapper for Delphi http://renatomancuso.com/software/dpcre/dpcre.htm based on PCRE Perl Compatible Regular Expression library. Regular expression support is provided by the PCRE library package, which is open source software, written by Philip Hazel, and copyright by the University of Cambridge, England. ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/

Internet Component Suite developed by François Piette http://www.overbyte.be

Virtual TreeView component developed by Mike Lischke http://www.delphi-gems.com/VirtualTreeview/VT.php

eXpress Application Manager developed by Olivier Rogier ordisoftware.com

Un MI a été envoyé à dev avec les infos détaillées de mes warnings.

A+

Message édité par : developpeur / 25-11-2012 22:00


  Profil  www  Citation   
Jireck
7987       

Jireck
  Posté : 19-12-2006 15:21

Il est bien ce Samx !!!

  Profil  www  Citation   
developpeur
24560       
 

developpeur
  Posté : 19-12-2006 22:27

oui ! / j'ai télécharger ce que tu m'a fournis et je vais pouvoir regarder. Pour l'instant c'est plsutot de pas trop mauvaises nouvelles en somme

  Profil  E-mail  www  Citation   
  
Sauter à :

Temps : 0.0138 seconde(s)