NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
18 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 109 382 353
- Nb. de membres 8 696
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» [Résolu] - Hack
[Résolu] - Hack#10887
8Contributeur(s)
3 Modérateur(s)
Anonyme
J'ai +- réussi à "hacker" un site NPDS hier soir.
Je précise avant de me faire enflammer que je n'ai rien contre NPDS ni contre les personnes qui respectent et remercient ses auteurs !!
La raison ?
L'administrateur de ce site propose des cracks pour un jeux, mais bon passons, ce n'est ni le premier, ni le dernier...
Par contre, il s'est approprié le développement de NPDS. Il a enlevé le footer mentionnant l'auteur de son site. ça je n'apprécie pas du tout !
Je développe depuis longtemps et j'ai souvent hésité à mettre mes sources en ligne... voila ce qui m'a toujours rebuté.
Qui m'en voudra ?
Version testée ?
La sienne je ne sais pas.
J'ai testé sur mon serveur avec une version téléchargé avant-hier soir (npds 5.0 runner).
Type de hack ?
upload de n'importe quel fichier (.php, .htaccess, ...)
+ écrase les fichier portant le même nom
Ce n'est pas loggué dans le fichier security.log...
Pq le hack a raté ?
son serveur génère une erreur interne 500 lorsque l'on essaye d'accéder à un fichier .php dans son répertoire d'upload. :paf
Dommage :(
chez moi par contre pas de problème
Correction :
Désactiver la page upload.php jusqu'à la résolution du bug
Site concerné :
http://elcrasybarto.snoozland.com/nfsu/index.php?op=edito
fichier uploadé :
http://elcrasybarto.snoozland.com/nfsu/modules/upload/upload/index.html
Félicitation pour votre travail, il mérite d'être mieux connu :=!
Ou puis-je envoyer la page qui permet d'exploiter le bug utilisé ?
a+
Ethernal
Je précise avant de me faire enflammer que je n'ai rien contre NPDS ni contre les personnes qui respectent et remercient ses auteurs !!
La raison ?
L'administrateur de ce site propose des cracks pour un jeux, mais bon passons, ce n'est ni le premier, ni le dernier...
Par contre, il s'est approprié le développement de NPDS. Il a enlevé le footer mentionnant l'auteur de son site. ça je n'apprécie pas du tout !
Je développe depuis longtemps et j'ai souvent hésité à mettre mes sources en ligne... voila ce qui m'a toujours rebuté.
Qui m'en voudra ?
Version testée ?
La sienne je ne sais pas.
J'ai testé sur mon serveur avec une version téléchargé avant-hier soir (npds 5.0 runner).
Type de hack ?
upload de n'importe quel fichier (.php, .htaccess, ...)
+ écrase les fichier portant le même nom
Ce n'est pas loggué dans le fichier security.log...
Pq le hack a raté ?
son serveur génère une erreur interne 500 lorsque l'on essaye d'accéder à un fichier .php dans son répertoire d'upload. :paf
Dommage :(
chez moi par contre pas de problème
Correction :
Désactiver la page upload.php jusqu'à la résolution du bug
Site concerné :
http://elcrasybarto.snoozland.com/nfsu/index.php?op=edito
fichier uploadé :
http://elcrasybarto.snoozland.com/nfsu/modules/upload/upload/index.html
Félicitation pour votre travail, il mérite d'être mieux connu :=!
Ou puis-je envoyer la page qui permet d'exploiter le bug utilisé ?
a+
Ethernal
Anonyme
c'est envoyé
j'ai oublié de te le mettre en .txt
ouvre le directement avec notepad si tu as des doutes.
a+
Ethernal
j'ai oublié de te le mettre en .txt
ouvre le directement avec notepad si tu as des doutes.
a+
Ethernal
Anonyme
je me rends compte que je suis parti en guerre un peu vite...
il n'y a nulle part une obligation de garder au moins une référence vers ton site (?!?)
c'est normal ?
a+
Ethernal
il n'y a nulle part une obligation de garder au moins une référence vers ton site (?!?)
c'est normal ?
a+
Ethernal
developpeur
Dans les sources : SI / ensuite c'est une question d'usage et l'usage veuille que l'on laisse un lien ... mais les usages se perdent :-) ...
axel
ai verifié les sources, c ok dedans...
mais lui ait ft un petit mail en lui rappellant les usages...
mais lui ait ft un petit mail en lui rappellant les usages...
Anonyme
ça a l'air de fonctionner :=!
Si jamais je trouve qqch d'autre, je te ferai signe.
a+
Ethernal
Si jamais je trouve qqch d'autre, je te ferai signe.
a+
Ethernal
developpeur
merci Ethernal / Cette correction sera incluse dans un prochain patch de sécurité qui sera publié en début de semaine prochaine.
Ttu est toujours le bienvenue
Ttu est toujours le bienvenue
Tito
Bienvenu tant que tu n'utilises pas tes connaissances à de mauvaises fins :-D
Mais tu as fait preuve de bonne foix :=! :-D
Mais tu as fait preuve de bonne foix :=! :-D
Anonyme
oui pas de problème, je reste toujours "gentil" et courtoi (même si je m'énnerve parfois :-D, mais c'est rare )
J'avais programmé un portail/forum en orienté objet avec système de template (fastTemplate optimisé par mes soins), mais c'était devenu tellement compliqué pour mettre tout ensemble que j'ai arrêté (puis bon j'ai commencé à travaillé aussi et ça m'a laissé bcp moins de temps :-( )
Donc je connais assez bien les problèmes de sécurtié auquel on est confronté.
Mais la sécurité est tellement vaste : Il y a d'une part tout ce qui est programmation, mais aussi la partie configuration du serveur qui fait bcp...
Peut être qu'un jour je me remettrai à développer en php :-)
Pour l'instant je pense plus à un site de gestion du business pour la boite pour laquelle je travaille (mais évidemment ils sont réticents face à une application web en PHP).
bon a+
Ethernal
(faudrait que je m'enregistre :-D )
J'avais programmé un portail/forum en orienté objet avec système de template (fastTemplate optimisé par mes soins), mais c'était devenu tellement compliqué pour mettre tout ensemble que j'ai arrêté (puis bon j'ai commencé à travaillé aussi et ça m'a laissé bcp moins de temps :-( )
Donc je connais assez bien les problèmes de sécurtié auquel on est confronté.
Mais la sécurité est tellement vaste : Il y a d'une part tout ce qui est programmation, mais aussi la partie configuration du serveur qui fait bcp...
Peut être qu'un jour je me remettrai à développer en php :-)
Pour l'instant je pense plus à un site de gestion du business pour la boite pour laquelle je travaille (mais évidemment ils sont réticents face à une application web en PHP).
bon a+
Ethernal
(faudrait que je m'enregistre :-D )
vaxmax
:-o Je suis sur d'une chose
1 / Des que tu autorises le moindre download , tu t' exposes 100 fois plus que tous le monde, le filemanager est aussi a utiliser avec modération.....
2/ Pour ceux qui utilise un serveur unix - apache , il faut en connaitre un rayon , car installer apache c'est simple , le sécuriser et le configurer c'est autre chose !!! , faut pas non plus oublier les autres services de la machines
3/ .. et sur Windows ....c'est la roulette Russe à chaque clic
8-]
1 / Des que tu autorises le moindre download , tu t' exposes 100 fois plus que tous le monde, le filemanager est aussi a utiliser avec modération.....
2/ Pour ceux qui utilise un serveur unix - apache , il faut en connaitre un rayon , car installer apache c'est simple , le sécuriser et le configurer c'est autre chose !!! , faut pas non plus oublier les autres services de la machines
3/ .. et sur Windows ....c'est la roulette Russe à chaque clic
8-]
lebow
En tous cas, le site concerné, ne fait toujours pas référence à NPDS..... Ni à Kaméa pour son thème d'ailleurs..... :#
GiamDoc
appelle sa page de stats: il y a encore NPDS de mentionné:
http://www.clannfsuelcrasybarto.com/stats.php
http://www.clannfsuelcrasybarto.com/stats.php
elcrasybarto
Pardon mais je suis le Webmaster de ce site et où allez-vous voir que je cache le fait que le site utilise la structure NPDS.
Mes membres le savent, on en a parlé plus d'une fois,etc...
De plus c'est marqué dans les crédits du site : http://www.clannfsuelcrasybarto.com/static.php?op=credits.php tout est mentionné.
Certe il y a peu de temps j'ai enlevé que le site est sous NPDS en bas de page... Mais on a le droit non?
Merci de régarder avant, car j'ai plus d'une fois cité NPDS sur mon forum, qui est une structure géniale que j'adore :-)
Mes membres le savent, on en a parlé plus d'une fois,etc...
De plus c'est marqué dans les crédits du site : http://www.clannfsuelcrasybarto.com/static.php?op=credits.php tout est mentionné.
Certe il y a peu de temps j'ai enlevé que le site est sous NPDS en bas de page... Mais on a le droit non?
Merci de régarder avant, car j'ai plus d'une fois cité NPDS sur mon forum, qui est une structure géniale que j'adore :-)