•  » Utilisation
  •  » Faille Permettant De Voir Les Logins

#16 2003-03-24 21:17:20

fureteur
Membre
2003-03-06
4

Re: Faille Permettant De Voir Les Logins

XSS = Cross Scripting

j'en sais pas plus, j'ai montré la capture d'écran à un collègue, et d'entrée il m'as répondu, c'est du xss, en clair, cross scripting...

Hors ligne

#17 2003-03-24 21:36:23

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: Faille Permettant De Voir Les Logins

oui, c'est tout à fait ça, du cross-scripting. Ce n'est donc pas à la portée de tout le monde, mais si  qqun veut *vraiment* voir vos identifiants de connexion, il sera en mesure de le faire


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#18 2003-03-24 21:43:49

fureteur
Membre
2003-03-06
4

Re: Faille Permettant De Voir Les Logins

Ok, j'ai corrigé les pages.

Par contre dans init.inc.php, je n'ai pastrouvé la ligne 17, j'ai ajouté la ligne que tu as donné, et j'ai modifié également les 2 lignes après, ce qui donne ça maintenant :

*                                                                         *
***************************************************************************/
    define( PREFIXE_INCLUDE, '');
    include_once( PREFIXE_INCLUDE."./include/config.inc.php" );
    include_once( PREFIXE_INCLUDE."./include/user.inc.php" );

était-ce utile ?

Tout est entré dans l'ordre, l'hébergeur a réactivé les dns et le site, vu, après enquête que j'y étais pour rien. En tous cas merci z0rglub d'avoir trouvé la soluce si vite ! Génial !  :D 

Hors ligne

#19 2003-03-29 15:12:34

Guest_TNorth
Invité

Re: Faille Permettant De Voir Les Logins

Heu... maintenant c'est possible de savoir comment le pirate s'y est pris ?
Je débute en PHP et j'aimerais savoir quelles mesures de sécurité il faut prendre...
Merci
(si tu préfères : tnorth_AT_bluewin.ch)

#20 2003-03-31 09:36:47

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: Faille Permettant De Voir Les Logins


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#21 2003-03-31 15:53:30

Guest_TNorth
Invité

Re: Faille Permettant De Voir Les Logins

Ok je commence à comprendre gentillement...
8O  8O  8O
Je pensais pas que ça soit si sensible, un script PHP !
Donc il faut vraiment tout prévoir ?!
C'est fou le nombre de choses qu'il faut penser avant de publier un script.... Je vais remplacer tous les include alors...
Merci :D 

#22 2003-04-26 15:50:10

joseph
Membre
2003-04-25
8

Re: Faille Permettant De Voir Les Logins

hmmmm...
Bon finalement je crois que la galerie en question on vas la jarreté pasque la ça devien dangerous ont dirait  désolé pour ce superscript...

Hors ligne

#23 2003-04-26 15:51:27

joseph
Membre
2003-04-25
8

Re: Faille Permettant De Voir Les Logins

et tan-pis pour mes question sans réponse !
astalavisita! :o 

Hors ligne

#24 2003-04-26 17:08:27

z0rglub@family
Invité

Re: Faille Permettant De Voir Les Logins

hmmmm...
Bon finalement je crois que la galerie en question on vas la jarreté pasque la ça devien dangerous ont dirait  désolé pour ce superscript...

ben tu fais as you wish  :)

Juste que je donne la soluce pour corriger le problème et que la version actuellement disponible au téléchargement est exempte de cette faille de sécu. Mais c'est clair qu'à l'avenir on trouvera surement encore d'autres failles. C'est un script open source, on trouve les failles mais lorsqu'elles sont trouvées on fournit un patch rapidement.

#25 2003-05-13 09:54:22

elari
Invité

Re: Faille Permettant De Voir Les Logins

pour plus de secu j'ai rajoute ca comme .htaccess

dans admin

AuthName "My Tools ....are private."
AuthType Basic
AuthUserFile .htpasswd
require valid-user

et dans tous les autres rep

# This is used with Apache WebServers
# The following blocks direct HTTP requests in this directory recursively
#
# For this to work, you must include the parameter 'Limit' to the AllowOverride configuration
#
# Example:
#
#<Directory "/usr/local/apache/htdocs">
#  AllowOverride Limit
#
# 'All' with also work. (This configuration is in your apache/conf/httpd.conf file)
#
# This does not affect PHP include/require functions
#

<Files *.php>
Order Deny,Allow
Deny from all
</Files>

  •  » Utilisation
  •  » Faille Permettant De Voir Les Logins

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact