NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
12 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 109 364 482
- Nb. de membres 8 695
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» test avec chorizo-scanner
Nouveau sujet
test avec chorizo-scanner#25480Répondre
2Contributeur(s)
3 Modérateur(s)
Herve
Bonjour,
juste pour info,
suite à des visites suspectes :# , j'ai googlé mon site et me suis rendu compte que j'avais été imprudent :paf : le 2ème résultat de google était carrément un répertoire non protégé contenant phpzip, pcsexplorer, ... permettant de voir la totalité des pages perso, site npds compris.
Du coup, après avoir bouché les trous et changé tous les mots de passe :=! , je me suis inscrit auprès de chorizo-scanner pour tester la sécurité du site. Bilan :deux messages inquiétants :-o
Dans les deux cas, $get est impliquée
juste pour info,
suite à des visites suspectes :# , j'ai googlé mon site et me suis rendu compte que j'avais été imprudent :paf : le 2ème résultat de google était carrément un répertoire non protégé contenant phpzip, pcsexplorer, ... permettant de voir la totalité des pages perso, site npds compris.
Du coup, après avoir bouché les trous et changé tous les mots de passe :=! , je me suis inscrit auprès de chorizo-scanner pour tester la sécurité du site. Bilan :deux messages inquiétants :-o
- concernant le module event-call, on peut provoquer le message d'erreur :
Warning: mktime() expects parameter 6 to be long, string given in /mnt/xxx/xx/x/x/xxxxxxx/.../modules/event-call/calendar.php on line 100
en tapant :
http://xxx.xxx.fr/xxx/modules.php?ModPath=event-call&ModStart=calendar&op=cal&month=4&year=%20!onmouse!over=alert('f4f183689d28356bef40775e3a02f8b0')&catview=0 - concernant npds,il semble que le risque est moindre :
http://xxx.xxx.fr/?=PHPE9568F36-D428-11d2-A769-00AA001ACF42
provoque seulement l'affichage du logo de PHP
Dans les deux cas, $get est impliquée
developpeur
Le premier message est une tentative de XSS mais qui n'aboutie pas car mktime plante avant
Le second n'existe pas sur NPDS mais sur ton serveur qui lui gère des sessions PHP (NPDS ne les utilisent absolument pas)
En synthèse : rien de grave à mon sens
Le second n'existe pas sur NPDS mais sur ton serveur qui lui gère des sessions PHP (NPDS ne les utilisent absolument pas)
En synthèse : rien de grave à mon sens