Bonjour, vous attendez de la communauté un support le plus précis et le plus rapide qu'il soit !
Vous débutez avec Maximus, veuillez consulter de prime abord ce fil de discussion, et celui-ci ... De notre coté, nous sommes désireux d'apporter le support le plus adapté qu'il soit à chaque situation ... Pour commencer, avez vous consulté le wiki maximus et/ou les tutoriaux ???
Aussi la solution est simple et applicable rapidement: 1 ) Pour tout nouveau fil de discussion, mettez un titre le plus explicite possible 2 ) Remplissez, tant que faire ce peut, du plus précisément possible votre mini-fiche 3 ) Pensez qu'une réponse peut être postée plusieurs heures voir quelques jours après votre question, il est donc bon de remonter le sujet de temps en temps mais point trop n'en faut :) 4 )Vous reconnaissez, en postant sur ce site, avoir pris connaissance du règlement interne ! Nous vous souhaitons une forte réussite dans votre projet par le biais de PHP Maximus CMS.
Sujet du message: [Alerte de sécurité maximale r10] vol de session ET cookies Posté le: Mar 18 Nov, 2008 1:52 pm
bonjour
allez mes nouvelles connaissances passe en application tout de suite !
je viens de réussir un vol de session, ceci me permettant de forger mes trois cookies et donc me donnant 100% des droits sur un site prit au hasard !
attention aucune trace n'est relevable de ce type d'attaque, le pare feu n'y voit rien puisque l'identification est parfaite, le scanner d'ip ne remontera aucune nouvelle ip là aussi puisque l'identification est déjà réalisée, et les logs admin ne spécifie rien non plus pour le même motif !
Aucune trace donc !
Je recommande avec la plus grande prudence de mettre à jour son maximus 2008 reloaded 10 avec le pack ci dessous téléchargeable
l'installation est extrêmement simple:
- uploader le contenu du pack sur votre ftp
plusieurs fichiers seront remplacés et corrigeant cette faille MAJEURE !
SUITE à ceci
vous avez deux solutions:
1) par votre logiciel FTP vider le dossier cache/sessions/
en prenant soin de bien laisser les trois fichiers suivant: index.html, index.html, .htaccess
2) via fénix, solliciter un vide des sessions en cours
une fois ces opérations ( assez simples ) réalisées, votre site sera blindé contre ce type d'attaque
--------------------------------- Mini Fiche de raphael Url de mon site web: www.supernature6000.com Version utilisée: Maximus BS URL Rewriting utilisée Wysiwyg installé FCK Editor Hébergeur: www.nuxit.com Apache version: Apache/2.0.52 PHP Version: PHP/4.3.9 Espace Perso: -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Inscrit le: May 22, 2006 Messages: 1300 18015 points
Lieu de résidence
Sujet du message: Re: [Alerte de sécurité maximale r10] vol de session ET cook Posté le: Mer 19 Nov, 2008 5:47 pm
Pour une fois, je crois que je peux répondre:
ca s'adresse à ceux qui sont en Maximus 2008 et toi tu sembles être en BS.
Patrick
--------------------------------- Mini Fiche de salinator Url de mon site web: www.dirlo.org Version utilisée: Maximus 2008 R09 URL Rewriting utilisée Wysiwyg installé FCK Editor Hébergeur: www.infomaniak.ch PHP Version: php 5 -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Sujet du message: Re: [Alerte de sécurité maximale r10] vol de session ET cook Posté le: Mer 19 Nov, 2008 5:56 pm
salinator a écrit:
Pour une fois, je crois que je peux répondre:
ca s'adresse à ceux qui sont en Maximus 2008 et toi tu sembles être en BS.
Patrick
tout à fait
dans 2008 reloaded 10 on a d'autres dossiers
- flood
- sitemaps
- sessions
pour information, je vais encore améliorer la protection l'actuelle étant pas assez complexe à décrypter pour un oeil avisé, dans reloaded 11, j'intègrerai une protection de cryptage des sessions évitant toute possibilité de trouver ses foutus sessions
de plus le dossier sera renomable, ainsi on évitera tous les petits malins qui auraient envie de passer par là
--------------------------------- Mini Fiche de raphael Url de mon site web: www.supernature6000.com Version utilisée: Maximus BS URL Rewriting utilisée Wysiwyg installé FCK Editor Hébergeur: www.nuxit.com Apache version: Apache/2.0.52 PHP Version: PHP/4.3.9 Espace Perso: -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
--------------------------------- Mini Fiche de raphael Url de mon site web: www.supernature6000.com Version utilisée: Maximus BS URL Rewriting utilisée Wysiwyg installé FCK Editor Hébergeur: www.nuxit.com Apache version: Apache/2.0.52 PHP Version: PHP/4.3.9 Espace Perso: -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Sujet du message: Re: [Alerte de sécurité maximale r10] vol de session ET cook Posté le: Mer 19 Nov, 2008 7:21 pm
Cyril a écrit:
bonjour
allez mes nouvelles connaissances passe en application tout de suite !
je viens de réussir un vol de session, ceci me permettant de forger mes trois cookies et donc me donnant 100% des droits sur un site prit au hasard !
attention aucune trace n'est relevable de ce type d'attaque, le pare feu n'y voit rien puisque l'identification est parfaite, le scanner d'ip ne remontera aucune nouvelle ip là aussi puisque l'identification est déjà réalisée, et les logs admin ne spécifie rien non plus pour le même motif !
Aucune trace donc !
Je recommande avec la plus grande prudence de mettre à jour son maximus 2008 reloaded 10 avec le pack ci dessous téléchargeable
l'installation est extrêmement simple:
- uploader le contenu du pack sur votre ftp
plusieurs fichiers seront remplacés et corrigeant cette faille MAJEURE !
SUITE à ceci
vous avez deux solutions:
1) par votre logiciel FTP vider le dossier cache/sessions/
en prenant soin de bien laisser les trois fichiers suivant: index.html, index.html, .htaccess
2) via fénix, solliciter un vide des sessions en cours
une fois ces opérations ( assez simples ) réalisées, votre site sera blindé contre ce type d'attaque
--------------------------------- Mini Fiche de raphael Url de mon site web: www.supernature6000.com Version utilisée: Maximus BS URL Rewriting utilisée Wysiwyg installé FCK Editor Hébergeur: www.nuxit.com Apache version: Apache/2.0.52 PHP Version: PHP/4.3.9 Espace Perso: -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Sujet du message: Re: [Alerte de sécurité maximale r10] vol de session ET cook Posté le: Jeu 20 Nov, 2008 1:28 am
Voila c'est fait !!!
Encore merci pour ton boulot !!!
--------------------------------- Mini Fiche de philippe_jmh Url de mon site web: www.salsatours.fr Version utilisée: Maximus BS URL Rewriting utilisée Wysiwyg installé FCK Editor Hébergeur: www.infomaniak.ch -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Sujet du message: Re: [Alerte de sécurité maximale r10] vol de session ET cook Posté le: Jeu 20 Nov, 2008 1:47 pm
philippe_jmh a écrit:
Voila c'est fait !!!
Encore merci pour ton boulot !!!
héhé, merci
tu sais c'est une vrai passion pour moi la sécurité ET l'optimisation
je ne sais même pas si ça peut s'arrêter un jour, car plus j'avance dans ces deux domaine de développement, et plus je me dis 'mais comment peut on livrer ça à une communauté '
je m'éclate de lire d'autres cms, car il y a beaucoup à apprendre chez les autres, et ce dans les deux sens du terme : du très bon, et du très mauvais c'est plus le second qui me porte peine pour les gens qui apportent leur confiance à des projets qui à mes yeux sont tout simplement une kata de bout en bout
de là à faire une forteresse avec un cms, il n'y a qu'un pas
Sujet du message: Re: [Alerte de sécurité maximale r10] vol de session ET cook Posté le: Jeu 20 Nov, 2008 11:20 pm
J'avoue que ca me branche aussi tout ca mais je n'ai pas le temps de faire trop de recherche sur le sujet !!! Je me documente mais de facon episodique et du coup ce n'est pas super efficace, il faudtrait que je trouve un bon bouquin ou un bon site qui regroupe un peu tout ca mais la c'est vraiment pas gagne !!!
Mais des que j'ai un peu plus de temps ......
--------------------------------- Mini Fiche de philippe_jmh Url de mon site web: www.salsatours.fr Version utilisée: Maximus BS URL Rewriting utilisée Wysiwyg installé FCK Editor Hébergeur: www.infomaniak.ch -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Inscrit le: May 12, 2005 Messages: 5079 50147 points
Lieu de résidence
Sujet du message: Re: [Alerte de sécurité maximale r10] vol de session ET cook Posté le: Jeu 20 Nov, 2008 11:32 pm
Cyril a écrit:
je m'éclate de lire d'autres cms, car il y a beaucoup à apprendre chez les autres, et ce dans les deux sens du terme : du très bon, et du très mauvais c'est plus le second qui me porte peine pour les gens qui apportent leur confiance à des projets qui à mes yeux sont tout simplement une kata de bout en bout
--------------------------------- Mini Fiche de GravuTrad Url de mon site web: www.colok-traductions.com Version utilisée: Maximus 2009 URL Rewriting non utilisée Wysiwyg installé FCK Editor Hébergeur: OVH PHP Version: PHP 5 Espace Perso: http://www.simplemachines.org/about/team.php
http://www.simplemachines.org/community/index.php?topic=174369.0 -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
--------------------------------- Mini Fiche de GravuTrad Url de mon site web: www.colok-traductions.com Version utilisée: Maximus 2009 URL Rewriting non utilisée Wysiwyg installé FCK Editor Hébergeur: OVH PHP Version: PHP 5 Espace Perso: http://www.simplemachines.org/about/team.php
http://www.simplemachines.org/community/index.php?topic=174369.0 -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Sujet du message: Re: [Alerte de sécurité maximale r10] vol de session ET cook Posté le: Mar 02 Déc, 2008 1:13 pm
tu veux mon avis: un cookie ne peut pas être sécure
c'est simple en fait
ya pas à cherche midi à quatorze heures, du moment ou on laisse à dispo des utilisateurs un fichier sur leur disque on ouvre la porte du coffre
je ne parle même pas du système de pass qu'il soit md5 sha1 ou sha1 avec grain de sable tout ça c'est du vent
moi le premier si j'intercepte un cookie je vais pouvoir m'identifier sans problème
le problème que nous avions ne venait pas di cookie lui même mais des sessions, nous stockions des valeurs importantes sans même contrôler si elles t'appartenaient lol
maintenant on vérifie, on balance une clef aléatoire dedans et ainsi il est extrêmement difficile pour ne pas dire impossible de remonter la session
déjà dans maximus j'ai volontairement mis les sessions dans le cms et non dans le dossier tmp de l'hébergeur parce que là je te dis pas la pagaille, trop easy de remonter les sessions qui sont toutes sur le même serveur
beaucoup de gens utilisent les sessions, et imagine toi un dossier avec 300 ou 400 hébergé sur une même machine, c'est vrai qu'elles sont courtes, mais je te donne une idée de comment on peut s'amuser:
- un: on met un script php en cron qui scrute toutes les 5 minutes le dossier /tmp qui n'a jamais riend e secret chez aucun hébergeur
- deux: ce script dans ce script une relève des sessions et on se les met directement en base ou un fichier à plat peu importe, la base est pas mal s'il y a un gros traitement à faire
- trois: on consulte le contenu des sessions
- quatre: suivant ce qu'il y a dedans, ben ... c'est la kata pour les autres
voilà tout simplement pourquoi je ne veux pas de sessions communes avec les autres hébergés
là encore, très peu de gens vont y arriver, et ceux qui y parviendraient entre nous ont autre chose à faire que de s'amuser avec ça, mais le danger étant bien là il est bon de s'en prémunir surtout quand c'est si simple à éviter
enfin pour en revenir au cookie, l'idéal est de ne pas en avoir !
ou alors avec trois bêtises dedans: le langage, l'heure et la date de vite de la dernière fois des trucs de ce type
mais sans être alarmant quel cms n'utilise pas les cookie pour facilité son approche
et si on regarde ce qu'il y a dedans c'est jamais joli-joli
là j'ai décortiqué fluxbb, ben ... c'est comme smf ou maximus, c'est bien c'est renforcé, mais c'est pas inviolable, il ne faut pas se voiler la face
Toutes les heures sont au format GMT + 1 Heure Aller à la page 1, 2Suivante
Page 1 sur 2
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum Vous ne pouvez pas joindre des fichiers Vous ne pouvez pas télécharger des fichiers
Distroy Forums Cache ~ Distroy Sessions ~ Partenaire hébergement professionnel www.hebeh.com, votre hébergement de qualité à bas prix. Retrouvez des informations similaires grâce aux moteurs de recherche suivants:
[ Page générée en 0.0796 sec ] [ Vitesse PHP: 79% - SQL: 21% ] [ Requêtes SQL: 70 ] [ 1284 pages vues la dernière heure ]
Accueil
Les 10 derniers messages
Module forum, connexion en administrateur
126494 points
