Piwigo.org

pierred · 2007-07-03 12:16:35

c3dRyKk a encore frappé !!! Merci à lui !!! 2 fois en moins d'une semaine sur mon site en PWG 1.7 !!! Merci mec !!

Bon la faille de sécurité est qu'il est capable, je ne sais pas comment, de modifier la banière de la page principale.

c3dRyKk (sur un autre topic) a écrit:
j ai effectué ce deface (...) afin de prevenir de la faille (...) j ai meme proposé d aider l'admin de ce site a proteger son phpmyadmin..
je ne suis pas un crasher
je cherche juste a dejouer les securités afin de les renforcer

Peut être a-t-il accès à plus !!!

Dernière modification par pierred (2007-07-03 12:24:07)

pat13480 · 2007-07-03 12:37:25

en fait il a fait idem chez moi (banniere ejectée et remplacée par une araignée rouge!!!)
mais en plus il a créé un admin avec son pseudo.....a partir de la il avait acces a tout me semble t il....
par contre aucun degats sur le site.tout juste a t il regardé les photos (pour un peu je serais vexé)

VDigital · 2007-07-03 12:39:49

As-tu reçu ses explications? Tu nous fais suivre?
8-)

c3dRyKk · 2007-07-03 17:39:59

bonjour,

comme convenu je viens faire part des bugs decouverts recement;

[edit] le post est transféré sur le forum privé [/edit]

Dernière modification par rio (2007-07-03 18:30:29)

Nicco · 2007-07-03 18:44:38

salut Rio et la team,

juste au cas ou si un de vous peut me faire un ptit mail juste pour me dire d'ou vient la faille ... phpwebgallery ... apache ... mysql ...

juste pour que je sache si je coupe mon serveur ou non ;o)

VDigital · 2007-07-03 19:26:32

Nicco,
Coupe-le d'ici 2/3 heures on saura te dire quoi faire...
Mais je ne suis pas content de la réponse de Cédric, car elle est fausse à mon avis.
Il faut que je vérifie ça.
D'ici là Rub aura compris d'où vient le pb exactement, et on publiera un patch avant de produire une 1.7.1 (là, on aura besoin de z0rglub mais il faudra attendre encore quelques jours).
8-)

VDigital · 2007-07-03 21:17:31

Nicco,

Il n'y a pas plus de "Risques" aujourd'hui qu'hier.
Cédric n'est pas méchant heureusement.
Tu peux réouvrir.
Je ne suis pas certain qu'on trouve ce soir.

8-)

c3dRyKk · 2007-07-03 22:55:32

j ai envoyé un mail a VDigital en lui expliquant comment j avais accedé a l administration de pwg mai il na pa l air de me croire...

dsl VDigital mais c est le procédé que j ai utilisé...

VDigital · 2007-07-03 23:30:39

c3dRyKk a écrit:
tiens un exemple:

http://djpierred.free.fr/gallerie/admin.php

ma reponse n est pas fausse juste tu la trouve trop simple pour etre vraie ....

Je te crois mais j'arrive avec un train de retard et la galerie est verrouillée.
8-)

VDigital · 2007-07-03 23:37:24

T'as vraiment pas envi de sécuriser ?
c3dRyKk, propose une solution par email !!! ou sur http://forum.phpwebgallery.net/viewtopi … 189#p64189
re-owned by c3dRyKk

J'ai vu mais tu nous dis comment tu modifies sont header (par mail s'il te plait) et on protègera.
Merci.
8-)

rub · 2007-07-03 23:48:33

c3dRyKk, l'accès aux pages admin est protégé suivant l'utilisateur connecté.
En principe l'accès par simple url de la page admin ne fonctionne pas.

Dans les différentes galeries que tu as visité, nous avons remarqué que le user guest était administateur, d'où l'accès par simple url aux pages d'administration.
C'est un statut qui sera interdit de modifier pour le guest en 1.7.1 (déjà intégré) et qui aura un accès fortement contrôlé en 1.7.1 aussi.

Ma question est "est-ce que c'est toi qui au préalable change le statut du user guest, si oui, peux-tu non décrire ta méthode par mail?

VDigital · 2007-07-04 00:01:03

Nous avons expliqué:

1 - Le user guest doit être toujours être défini ainsi:
Nom d'utilisateur
guest
[invité]
[valeurs par défaut]
Statut de l'utilisateur
Invité

2 - Le user guest ne doit pas être supprimé.

3 - Donner un autre statut à guest ouvre le site à toute attaque de ce genre.

4 - en 1.7.1, le webmaster et le user guest seront protégés contre des erreurs de manipulation.

En tout état de cause, le fonctionnement normal de la 1.7 est bien protégé contre ce type d'attaque (sauf à disposer de la démonstration pas à pas nous en prouvant le contraire, ce que Cédric n'a pas établi).

Merci de votre compréhension.
8-)

pat13480 · 2007-07-04 05:39:06

juste pour vous dire qu'il a aussi effacé tous mes groupes.
vdigital, dis-moi, c'est normal d'avoir pu s'enregistrer sur mon site sans donner le mail?

VDigital · 2007-07-04 07:34:44

Oui, c'est le fonctionnement normal.
Je ne me serai pas inscrit comme beaucoup de gens si tu me la demandais.

Malgré tout rub a détaillé dans le wiki le principe du plugin personnel et dans le plugin personnel, il existe l'obligation d'entrer une adresse email.
Sera-t-elle bonne ou sera telle provisoire? Le sais-tu?

8-)

rub · 2007-07-04 07:40:19

VDigital a écrit:
Oui, c'est le fonctionnement normal.
Je ne me serai pas inscrit comme beaucoup de gens si tu me la demandais.

Malgré tout rub a détaillé dans le wiki le principe du plugin personnel et dans le plugin personnel, il existe l'obligation d'entrer une adresse email.
Sera-t-elle bonne ou sera telle provisoire? Le sais-tu?

8-)

Il faut savoir aussi que le contrôle de l'email obligatoire n'existe pas lors de la création de users en admin, uniquement si c'est une personne qui s'inscrit d'elle-même.
PS: Ca sera une fonctionnalité de la 1.8

Piwigo.org

Annonce

#16 2007-07-03 12:16:35

Re: site hacké

c3dRyKk (sur un autre topic) a écrit:

#17 2007-07-03 12:37:25

Re: site hacké

#18 2007-07-03 12:39:49

Re: site hacké

#19 2007-07-03 17:39:59

Re: site hacké

#20 2007-07-03 18:44:38

Re: site hacké

#21 2007-07-03 19:26:32

Re: site hacké

#22 2007-07-03 21:17:31

Re: site hacké

#23 2007-07-03 22:55:32

Re: site hacké

#24 2007-07-03 23:30:39

Re: site hacké

c3dRyKk a écrit:

#25 2007-07-03 23:37:24

Re: site hacké

#26 2007-07-03 23:48:33

Re: site hacké

#27 2007-07-04 00:01:03

Re: site hacké

#28 2007-07-04 05:39:06

Re: site hacké

#29 2007-07-04 07:34:44

Re: site hacké

#30 2007-07-04 07:40:19

Re: site hacké

VDigital a écrit:

Pied de page des forums