NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
36 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 108 409 080
- Nb. de membres 8 693
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» [Vuln] Inclusion Local, XSS, Full path disclosure
Nouveau sujet
[Vuln] Inclusion Local, XSS, Full path disclosure#20236Répondre
7Contributeur(s)
3 Modérateur(s)
Anonyme
Bonjour à tous =)
Tout d'abord je tiens à m'excuser au près des admins ayant diffuser un exploit de type DoS...vraiment désolé, on peut dire que ma tendance hack était plutot orienté black hat.
Mais ne vous faites pas de soucis, j'ai changé =) je suis maintenant orienté white hat (les gentils huhu !). J'ai faits une petite analyse de votre CMS et j'ai découvers quelques failles, j'ai diffuser un bulletin sur mon site perso ce matin pour prévenir les utilisateurs contre ces divers failles.
Voila le lien du bulletin: http://mgsdl.free.fr//advisories/npds510.txt
Si vous corrigez tout ces bugs (je n'ai pas faits une analyse complète mais le principe y est), ça serait gentil de me mettre au courant à gmdarkfig@gmail.com.
Ciao =)
Tout d'abord je tiens à m'excuser au près des admins ayant diffuser un exploit de type DoS...vraiment désolé, on peut dire que ma tendance hack était plutot orienté black hat.
Mais ne vous faites pas de soucis, j'ai changé =) je suis maintenant orienté white hat (les gentils huhu !). J'ai faits une petite analyse de votre CMS et j'ai découvers quelques failles, j'ai diffuser un bulletin sur mon site perso ce matin pour prévenir les utilisateurs contre ces divers failles.
Voila le lien du bulletin: http://mgsdl.free.fr//advisories/npds510.txt
Si vous corrigez tout ces bugs (je n'ai pas faits une analyse complète mais le principe y est), ça serait gentil de me mettre au courant à gmdarkfig@gmail.com.
Ciao =)
developpeur
Je regarderais cela au plus vite (en début debut de semaine prochaine car je ne suis pas dispo cette fin de semaine).
Les usages aurait voulu que tu me contact d'abord par Email pour que nous puissions discuter ;-)
Certaines de tes failles ne s'applique pas (ne fonctionne pas) dans certains contexte NPDS ceci étant
Les corrections sur les inclusions seront faite immédiatement,
les Cross Site Scripting et full disclosure seront traitée rapidement aussi
Merci de ton travail
A suivre
Les usages aurait voulu que tu me contact d'abord par Email pour que nous puissions discuter ;-)
Certaines de tes failles ne s'applique pas (ne fonctionne pas) dans certains contexte NPDS ceci étant
Les corrections sur les inclusions seront faite immédiatement,
les Cross Site Scripting et full disclosure seront traitée rapidement aussi
Merci de ton travail
A suivre
developpeur
Premier correctif disponible dans les téléchargements [ Patchs / sable510-secu-patch.zip ] contenant les corrections pour :
- Inclusion local (header.php?Default_Theme ET cluster-E.php?ModPath)
- Cross Site Scripting (header.php?Titlesitename et header.php?sitename)
- Full Path Disclosure : header.php
Le reste sera mis dans le prochain patch et/ou version (le niveau de gravité étant nettement moindre et l'exploitation pas toujours fonctionnelle)
A suivre
- Inclusion local (header.php?Default_Theme ET cluster-E.php?ModPath)
- Cross Site Scripting (header.php?Titlesitename et header.php?sitename)
- Full Path Disclosure : header.php
Le reste sera mis dans le prochain patch et/ou version (le niveau de gravité étant nettement moindre et l'exploitation pas toujours fonctionnelle)
A suivre
Cats
Salut dev et merci pour le boulot.
J'ai tout de même un petit problème : j'ai uploadé le nouveau header et j'obtiens ceci :
Kesako ? :-?
J'ai tout de même un petit problème : j'ai uploadé le nouveau header et j'obtiens ceci :
Fatal error: Call to undefined function: sql_fetch_assoc() in /home/catsfeel/www/header.php on line 168
Kesako ? :-?
daumal
Bonjour a toute l'équipe et a toi DEV.
Comme Cats, j'ai Fatal error: Call to undefined function: sql_fetch_assoc() in /home/catsfeel/www/header.php on line 168 lorsque j'applique le header.php (patch).
En l'attente, et encore merci pour la réactivité sur ce forum.
Amicalement
Comme Cats, j'ai Fatal error: Call to undefined function: sql_fetch_assoc() in /home/catsfeel/www/header.php on line 168 lorsque j'applique le header.php (patch).
En l'attente, et encore merci pour la réactivité sur ce forum.
Amicalement
leloup31
Citation : Anonyme
remplacer sql_ par mysql_ / il y a 3 ordres -- je refais le zip dans la journée
remplacer sql_ par mysql_ / il y a 3 ordres -- je refais le zip dans la journée
Peut-on faire confiance à un anonyme??? :b
:-P :-P :-P :-P
Anonyme
Il ne faut pas mais le zip viens d'être remis à jour ... :b
Merci de vos retour / je ferais une news si tous est ok
Merci de vos retour / je ferais une news si tous est ok
daumal
Je confirme, le patch (second) est OK, tout semble bien fonctionner.Encore merci pour ton dévouement. Amicalement.
Boris
Ca, c'est une bonne nouvelle! Au fait, dev : Les utilisateurs "pas T*T" sont en sable, pas en dune! :-P C'est bien de prendre de l'avance, mais bon... :-D
daumal
Ben ... oui DEV, precursseur du tas de Sable .... ? On est deja sur le Pillat ?
Il suffit de savoir lire les entetes .... Merci.
Amicalement pour faire patienter les NPDsites !!!!!
Il suffit de savoir lire les entetes .... Merci.
Amicalement pour faire patienter les NPDsites !!!!!