NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
15 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 108 416 171
- Nb. de membres 8 693
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» Audit v5.0 RUNNER
Nouveau sujet
Audit v5.0 RUNNER#16485Répondre
12Contributeur(s)
![[-Jarod-]](users_private/[-Jarod-]/[-Jarod-].png "[-Jarod-]")
3 Modérateur(s)
Anonyme
Salut
Romano et moi avons quelques peu audité le portail NPDS v5.0 RUNNER. Il semblerait que nous y avons trouvés plusieurs problèmes de sécurités. Notamment des problèmes de xss non permanent, de path disclosures, un xss permanent dans le forum et deux gros problèmes de sql injection (glossaire et Lien Web). Nous ne rentrerons pas dans les détails (script kiddies obligent ;-) ) Une nouvelle version à venir :-?
Cordialement Romano et NoSP
Romano
Cordialement Romano et NoSP
lebow
en faite, Runner est depuis longtemps remplacé par Narval... et Sable arrive oui...
http://www.npds.org/static.php?op=historique.txt (ca peut aider ;-) )
http://www.npds.org/static.php?op=historique.txt (ca peut aider ;-) )
Boris
Si vous retrouvez ces même failles sur les dernières versions, contactez directement developpeur. (lien contact en bas du site) :=!
Et merci de ces tests! :-)
Et merci de ces tests! :-)
Anonyme
Salut,
il semblerait que les prob' révélés à Philippe alias développeur par mail ;) soit tout aussi valable sous la version narval et du coup n'apparaitront plus sous SABLE (à moins d'avoir foirer ma mise à jour vers narval:) ).
++
N & R
il semblerait que les prob' révélés à Philippe alias développeur par mail ;) soit tout aussi valable sous la version narval et du coup n'apparaitront plus sous SABLE (à moins d'avoir foirer ma mise à jour vers narval:) ).
++
N & R
Tito
Runnerétait effectivement vulnérables à une injection SQL mais un patch de sécu pour Narval a été mis à disposition:
http://www.npds.org/download.php?op=geninfo&did=110
http://www.npds.org/download.php?op=geninfo&did=110
developpeur
Romano et NoSP ont raison ... / ce qui est le plus important (à mon sens) c'est les SQL-Injection. je corrige évidement pour SABLE mais je sortirais certainnement un patch pour les versions 5x de NPDS.
Je vous donne des infos dès que j'ai fait le nécessaire.
Ceci étant un grand merci à Romano et NoSP pour leur travail et sur la manière de faire :-)
A suivre
Je vous donne des infos dès que j'ai fait le nécessaire.
Ceci étant un grand merci à Romano et NoSP pour leur travail et sur la manière de faire :-)
A suivre
Boris
Ce qu'il y a de bien, avec devou, c'est que dès qu'un bug est trouvé, c'est aussitôt corrigé! (Pas comme un certains forum.... p***b... si vous voyez...! :-D )
developpeur
url_protect.php devrait faire son travail / par contre les scripts sont en cours de corrections. Pour SABLE c'est fini - je produit la même chose pour NARVAL et Runner
A suivre
PS : Merci Romano et NoSP pour le coup de main :=!
A suivre
PS : Merci Romano et NoSP pour le coup de main :=!
Anonyme
arf url protect ne serait il pas trop méfiant ?
je n'arrive pa a me logguer sou IE/ XP fam
mais en même temps c pas mon pc et je suis pas sur de son niveau coté sécu ...
urbain, qui pour avoir internet doit attendre sa première facture France Télécom ... a sa voir DANS 2 MOIS !!!!
heeeeelp meeee ! dites moi que je peux en obtenir une avant !!!! :paf :paf :paf :paf
je n'arrive pa a me logguer sou IE/ XP fam
mais en même temps c pas mon pc et je suis pas sur de son niveau coté sécu ...
urbain, qui pour avoir internet doit attendre sa première facture France Télécom ... a sa voir DANS 2 MOIS !!!!
heeeeelp meeee ! dites moi que je peux en obtenir une avant !!!! :paf :paf :paf :paf
Anonyme
je confirme (je crois :-D ) c'est url protect ... je pense :p
Warning: Cannot add header information - headers already sent by (output started at /data/http/npds.org/modules/!include!/url_protect.php:1) in /data/http/npds.org/user.php on line 457
Warning: Cannot add header information - headers already sent by (output started at /data/http/npds.org/modules/!include!/url_protect.php:1) in /data/http/npds.org/user.php on line 459
Warning: Cannot add header information - headers already sent by (output started at /data/http/npds.org/modules/!include!/url_protect.php:1) in /data/http/npds.org/user.php on line 515
Slt, quand je fais "marquer tous les topics comme lu" j'ai en haut du site
Et en ce moment il y a un petit "B" qui traine en haut à gauche du site !
Je rajoute ca aussi :
pour le marquetapage !
Warning: Cannot add header information - headers already sent by (output started at /data/http/npds.org/modules/!!include!!/url_protect.php:1) in /data/http/npds.org/viewforum.php on line 42
Et en ce moment il y a un petit "B" qui traine en haut à gauche du site !
Je rajoute ca aussi :
Warning: Cannot add header information - headers already sent by (output started at /data/http/npds.org/modules/!include!/url_protect.php:1) in /data/http/npds.org/modules/marquetapage/marquetapage.php on line 29
pour le marquetapage !
Message édité par : oim
developpeur
Je ne déteste jamais quelqu'un qui m'aide ! - Je trouve au contraire que vous êtes plustôt "fidèle" dans le genre suivit ... et ce n'est ni moi, ni NPDS, ni la communauté qui va s'en plaindre.
Ceci étant, nouvelle version d'url_protect dans les bacs depuis 5 minutes :-)
Ceci étant, nouvelle version d'url_protect dans les bacs depuis 5 minutes :-)
NoSP
c kool ;)
Pour info : http://www.securitytracker.com/alerts/2005/May/1013973.html
http://www.securityfocus.org/bid/13649/info/
Pour info : http://www.securitytracker.com/alerts/2005/May/1013973.html
http://www.securityfocus.org/bid/13649/info/
Message édité par : NoSP
developpeur
NoSP : une idée / si je développais une fonction sécurisée qui permettrais de s'abonner (non pas à une newletter comme tu me le proposais) mais à url_protect ?
L'idée étant comme pour un anti-virus de proposer aux webmasters une interface super-simple pour mettre à jour (avec leur accord) la dernière version d'url_protect.php ?
A suivre
L'idée étant comme pour un anti-virus de proposer aux webmasters une interface super-simple pour mettre à jour (avec leur accord) la dernière version d'url_protect.php ?
A suivre