NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
17 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 109 363 260
- Nb. de membres 8 695
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» [Résolu] - petit complément de sécurité sur les modules
[Résolu] - petit complément de sécurité sur les modules#7577
1Contributeur(s)
3 Modérateur(s)
developpeur
- Si votre NPDS tourne avec l'option (php.ini) registrar_global=on ALORS
- Si votre NPDS est à la racine de votre Web ALORS
- Si vos utilisateurs ont accès sur le serveur d'hébergement à une zone de type home/mon_membre ALORS
==> Alors ya un petit problème avec certains modules (archives-stories par exemple) qui pourrait permettre d'inclure un faux archives-stories.conf.php
LE P1 de npds 5.0 corrigera cela mais plus générallement les concepteurs de modules peuvent éliminer ce risque (faible) en incluant les lignes suivantes au DEBUT de leur module :
if (strstr($ModPath,"..") || strstr($ModStart,"..") || stristr($ModPath, "script") || stristr($ModPath, "cookie") || stristr($ModPath, "!iframe!") || stristr($ModPath, "applet") || stristr($ModPath, "object") || stristr($ModPath, "meta") || stristr($ModStart, "script") || stristr($ModStart, "cookie") || stristr($ModStart, "!iframe!") || stristr($ModStart, "applet") || stristr($ModStart, "object") || stristr($ModStart, "meta")) {
die();
}
Sur un hébergement classique, le risque est inexistant (enfin d'après moi)
Voilu
- Si votre NPDS est à la racine de votre Web ALORS
- Si vos utilisateurs ont accès sur le serveur d'hébergement à une zone de type home/mon_membre ALORS
==> Alors ya un petit problème avec certains modules (archives-stories par exemple) qui pourrait permettre d'inclure un faux archives-stories.conf.php
LE P1 de npds 5.0 corrigera cela mais plus générallement les concepteurs de modules peuvent éliminer ce risque (faible) en incluant les lignes suivantes au DEBUT de leur module :
if (strstr($ModPath,"..") || strstr($ModStart,"..") || stristr($ModPath, "script") || stristr($ModPath, "cookie") || stristr($ModPath, "!iframe!") || stristr($ModPath, "applet") || stristr($ModPath, "object") || stristr($ModPath, "meta") || stristr($ModStart, "script") || stristr($ModStart, "cookie") || stristr($ModStart, "!iframe!") || stristr($ModStart, "applet") || stristr($ModStart, "object") || stristr($ModStart, "meta")) {
die();
}
Sur un hébergement classique, le risque est inexistant (enfin d'après moi)
Voilu