Annonce

#1 2014-07-08 18:34:27

Labellardiere
Membre
2014-07-08
2

Accès anormal d'un utilisateur enregistré sans droit particulier

Bonsoir,

Un utilisateur s'est enregistré (c'est tout à fait normal jusqu'ici) sur mon site, mais le lendemain, j'ai reçu un courriel contenant une URL qu'il n'aurait jamais du connaitre.

En effet, cette URL faisait référence à une photo dans une galerie privée et cet utilisateur ne devait pas y avoir accès dans la mesure où je ne lui avait pas donné de droit particuliers.

En regardant de plus près cette URL, elle contenait : .../Book/_data/i/Galleries/...
Il semblerait donc avoir eu accès à la base de données.

J'ai reçu ensuite plusieurs courriels de sa part et à chaque fois, il mentionnait l'accès à une photo à laquelle il n'aurait pas du avoir accès.

Puis hier, il m'a envoyé une URL avec : .../Book/Galleries/... encore une fois une photo privée mais avec l'URL correcte.
Il semblerai qu'il y ai une faille de sécurité sur Piwigo.
En tant qu'administrateur je lui ai changé son mot de passe afin qu'il ne puisse se connecter.

Hier soir il m'a envoyé un lien d'un site (est-ce le sien ?) :

http://*******/piwigo_galerie/picture.php?/553/category/44 (Contenu Adulte)

Quelqu'un a-t-il une idée pour que les galeries privées restent privées et que l'on ne puisse accéder si facilement à la base de données.

A votre disposition pour vous fournir de plus amples renseignements si vous en avez besoin.

Merci de vos réponses.

Version de Piwigo: 2.6.3
Version de PHP: 5.2.17
Version de MySQL: 5.1.73
URL Piwigo: http://labellardiere.fr/book

Dernière modification par mistic100 (2014-07-08 20:42:44)

Hors ligne

#2 2014-07-08 20:48:45

mistic100
Ex Equipe Piwigo
Lyon
2008-09-27
3561

Re: Accès anormal d'un utilisateur enregistré sans droit particulier

Bonjour

ce n'est pas une faille et il n'y a eu aucun accès à la base de données
c'est le comportement normal, puisqu'un accès direct au fichiers images ne passent par aucun script l'accès n'est pas vérifié

une sécurité minimale est possible en ajoutant ceci avec LocalFilesEditor :
$conf['original_url_protection'] = 'images';

une prochaine version proposera quelque chose de plus poussé

--

de nombreux topics Anglais en parlent
http://piwigo.org/forum/viewtopic.php?id=22321


--

ps: si vous pouviez désactiver la lecture automatique de musique sur votre site... il n'y a rien de tel pour faire fuir les visiteurs

Hors ligne

#3 2014-07-08 22:05:24

Labellardiere
Membre
2014-07-08
2

Re: Accès anormal d'un utilisateur enregistré sans droit particulier

Merci de votre réponse.
Je conçoit tout à fait que s'il y a un accès direct au fichier image, il n'y a aucun script qui puisse vérifier l'accès.
Mais comment pouvez vous expliquer le fait qu'il connaisse l'arborescence du site (et surtout des galeries privées) qui n'apparaissent nul part quand on est connecté comme simple visiteur.
Comment a-t-il eu l'idée de mettre dans l'URL .../book/_data/i/galleries/... ?

Pouvez-vous m'expliquer la signification de cet URL ?
D'où vient ce "_data/i/" ?

Je vais faire la modification conseillée dans LocalFilesEditor

Merci de votre conseil. Je vais aller jeter un oeil sur les topics anglais.

Ps : Sur votre conseil, je vais désactiver la musique sur mon site

Encore merci de votre réponse rapide.

Hors ligne

#4 2014-07-09 08:05:28

flop25
Équipe Piwigo
2006-07-06
6544

Re: Accès anormal d'un utilisateur enregistré sans droit particulier

C'est pourquoi lors de l'utilisation des autres modes d'upload le nom du dossier est aléatoire.
Mais néanmoins cela reste surprenant : avez vous vérifié qu'il n'y avait vraiment pas accès avec Multi View ou Admin Tools?

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact