logo

NPDS : Gestion de contenu et de communauté


Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
11 visiteur(s) et 0 membre(s) en ligne.
Activité du Site

Pages vues depuis 25/05/2001 : 104 311 408

  • Nb. de membres 8 691
  • Nb. d'articles 1 693
  • Nb. de forums 25
  • Nb. de sujets 8
  • Nb. de critiques 92

Top 10  Statistiques

Index du forum »»  Sécurité »» Mon rapport Acunetix

Nouveau sujet
 Mon rapport Acunetix#21589Répondre

4Contributeur(s)
developpeurJireckSamxCats
3 Modérateur(s)
developpeurjpbJireck
Samx Samxicon_post
Voici l'état de mon rapport (plus bas) :
Ce rapport semble démontre que mon portail NPDS est vulnérable aux hackers.
Votre avis plz :#

Cross Site Scripting ---------------------------- 200
SQL injection -------------------------------------- 16
Backup files --------------------------------------- 200
User credentials are sent in clear text ---- 193
Broken links -------------------------------------- 38
TRACE Method Enabled ------------------------ 1
URL redirection ----------------------------------- 3
Possible sensitive directories --------------- 26
Possible sensitive files ------------------------ 7
Files listed in robots.txt but not linked ---- 9
Email address found ---------------------------- 200
GHDB ------------------------------------------------- 7


Ce qui me trouble le plus est le Cross site scripting et le SQL injection
Ce rapport est partiel puisque le site Acunetix vend ses services.
Vous pouvez tester votre site sur: http://www.acunetix.com/ ... Compter au moins 3 jrs avant le résultat.

A+

Message édité par : Samx / 05-12-2006 14:49

Samx Samxicon_post
... Il serait bon d'ajouter maintenant (vs plus tard) que ce type de scan cause certain désagrément comme un bon millier de courriels reçus suite à mon abonnement à tous mes topiques de forum et qu'un bon ménage (passe par le bd) doit être fait après le passage du bot puisqu’il inscrit des messages dans le forum (entre autres). Donc à tester uniquement sur votre portail TEST ... Désolé pour les quelques lecteurs parmi les 14 qui on lu et qui sont tentés par l'expérience.

A+
developpeur developpeuricon_post
Je ne sais pas quoi répondre parceque je ne connais pas ce service.

As-tu un rapport plus détaillé ?

Cross Site Scripting ---------------------------- 200
==> ce type d'attaque n'a que peut d'intérèt et effectivement NPDS ne filtre pas tous les champs contre ce type de chose
SQL injection -------------------------------------- 16
==> je demande à voir
User credentials are sent in clear text ---- 193
==> je pense au cookies mais ils cryptés

En gros ces robots ne vois que la surface des choses / removehack, la protection des cookies, la protection du graber ... ne sont même pas connues. il (le robot) liste une somme considérable de chose (comme un validateur W3C) mais est-ce véritablement exploitable ... c'est une autre histoire.

A ce stade je ne sais pas quoi rajouter / npds.org existe depuis maintenant 5 ans sans avoir été hacké. ce n'est pas une garantie mais en l'état actuel c'est le mieux que je puisse offrir.

A suivre
Samx Samxicon_post

Pour ma part, je les trouve plutôt allarmiste.
De plus il ne back pas ce qu'il dise puisqu'il est impossible de voir le rapport complet avant d'acheter ...
La copie pdf est ici: http://stephtek.com/stephtek.pdf

Je me suis procuré une copie du logiciel que je lancerai en scan ce weekend. J'aimerais en savoir plus au sujet des 16 injections SQL. Je te donnerai les résultats en MI ici.

Si je me trompe pas, la dernière faille NPDSienne remonte à mai 2005 et elle a été corigée ... donc. A suivre.

A+
Cats Catsicon_post
Salut Dev,

Juste un petit mot pour donner ma propre expérience : j'ai ouvert mon site il y a 5 ans et je tournais alors sous Guppy, lui aussi très sécurisé mais j'avais ajouté un forum phpBB qui fut utilisé deux fois par des hackers pour des défaçages en règle, de phpBB d'abord puis de l'ensemble du site et d'autres sites sur le serveur ! Tout cela en six mois de temps et malgré la mise à jour régulière de phpBB. :paf

Je suis passé à NPDS depuis trois années et je dois avouer que je vis le calme plat et c'est une chose qui n'a pas de prix.

Je suis certain que, vu le nombre de sites tournant sous NPDS (a-t-on déjà recensé combien ?), si le script ne possédait pas une base sécurisée hors du commun, nous serions déjà au courant depuis longtemps des problèmes et tu croulerais sous les réclamations !

Encore merci pour ton boulot.

:=!
developpeur developpeuricon_post
Merci pour les futures MI (cela me semble une sage précaution). Les SQL injections SONT les choses a regarder. Le reste n'est pas aussi important que le rapport le laisse entendre àmon sens (il faut bien qu'il vende leur service ...)

Merci en tous les cas

PS : merci cats pour ton merci :-)
Samx Samxicon_post
Après étude des 15 SQL Injection que j'obtiens dans mon rapport, je constate que ce ne sont que des warnings et qu’ils sont inexploitables. ... Je les ai tous testés chez moi.

Pour ce dernier test (avant les nombreux autres à venir ...), j'ai intégré à mon portail les fichiers anti-spam.zip disponible dans la zone de téléchargement NPDS. Je suis heureux de constater que mon bot acunetix ne ma pas généré un seul message par mes forum auquel je suis abonné. Dans les 2 scans précédents, j'avais reçu plus de 1000 courriels.

J'ajoute qu’Acunetix est un logiciel propriétaire mais qu'il a été construit avec des projets libres dont voici la liste des liens utiles:

OpenSSL Project http://www.openssl.org The product contains and uses unmodified version of OpenSSL 0.9.7c.

PCRE Wrapper for Delphi http://renatomancuso.com/software/dpcre/dpcre.htm based on PCRE Perl Compatible Regular Expression library. Regular expression support is provided by the PCRE library package, which is open source software, written by Philip Hazel, and copyright by the University of Cambridge, England. ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/

Internet Component Suite developed by François Piette http://www.overbyte.be

Virtual TreeView component developed by Mike Lischke http://www.delphi-gems.com/VirtualTreeview/VT.php

eXpress Application Manager developed by Olivier Rogier ordisoftware.com

Un MI a été envoyé à dev avec les infos détaillées de mes warnings.

A+

Message édité par : developpeur / 25-11-2012 22:00

Jireck Jireckicon_post
Il est bien ce Samx !!! ;-)
developpeur developpeuricon_post
oui ! / j'ai télécharger ce que tu m'a fournis et je vais pouvoir regarder. Pour l'instant c'est plsutot de pas trop mauvaises nouvelles en somme