#1 2003-03-06 20:46:57

fureteur
Invité

Faille De Sécurité... :(

Je me suis fait 'hacké' ma galerie avec accès restreint : impossible de se loguer en tant que membre ou admin. Après recherche, j'ai trouvé cet article intéressant... As-tu une solution pour corriger cette faille ?

-------------------------------------------------------------------------------------------------------------------------------------
PhpWebGallery / php / PhpWebGallery 

posté le Sat 08 Feb par Nelson

PhpWebGallery 

---------------------------------------------------------




PhpWebGallery
*************

Produit :
*********
PhpWebGallery
http://www.z0rglub.com

Versions :
**********
1.0

Date :
******
23/04/02

Problème :
**********
- Accès aux comptes users/admins

Developpement :
***************

"PhpWebGallery est une application web permettant de créer simplement et rapidement une galerie
d'images. "
isadmin.php est un script qui est inclus dans les pages admins à proteger des utilisateurs ou
des visiteurs. En voici le code :

----------------------------------------------------------------------------------------
<?
$row = mysql_fetch_array(mysql_query("select status from $prefixeTable"."users where pseudo = '$HTTP_COOKIE_VARS[photo_login]';"));
if ( $row[status] != 'admin' )
{
echo"<center>Seul un administrateur peut accéder à cette partie du site

page d'identification</center>";
exit();
}
?>
----------------------------------------------------------------------------------------

On est donc admin si le pseudo utilisé est enregistré dans la database comme admin :
if ( $row[status] != 'admin' ) ...
Mais comment le site reconnait-il le pseudo utilisé ?
Par cookie ! :
[...] where pseudo = '$HTTP_COOKIE_VARS[photo_login]' [...]
Il suffit donc d'envoyer un cookie avec comme nom photo_login et comme valeur un pseudo
pour rentrer dans son compte, et dans un compte admin si c'est un pseudo admin.

Patch :
*******
/

Greetz :
********
/

Credits :
*********
frog-m@n
leseulfrog@hotmail.com


#2 2003-03-06 20:53:09

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: Faille De Sécurité... :(

As-tu une solution pour corriger cette faille ?

cette faille est corrigé depuis le 25 juillet 2002, avec la version 1.1


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#3 2003-03-06 21:09:11

fureteur
Membre
2003-03-06
4

Re: Faille De Sécurité... :(

oki, alors supprime le topic afin de ne pas affoler les fans de PhpWebGallery.

MErci :-P 

Hors ligne

#4 2003-03-06 21:21:06

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: Faille De Sécurité... :(

non, non, y'a pas de pb. D'autant plus que PhpWebGallery est une appli vraiment très sécurisée. Pas évident de pirater un compte admin, enfin faudrait vraiment être fort pour y arriver.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact