Forum

Bonjour, je suis tres inquet : je suis fait attaquer mon site par une attaque : (Vous avez été potentiellement victime d'une attaque de type CSRF que PHPBoost a bloquée.

Pour plus d'informations, visitez wikipedia)

Voila, comme je sais qu'il ya deja des topic sur le forum qui parle de se sujet, j'ai essayais de faire une mise a jours via l'interface admin et je tombe sur le meme message, de plus il ya bcp de fonctionaliter que je n'ai plus acces avec le mesage d'erreur " Vous n'avez pas le niveau requi "
Merci de m'aider, comment faire pour retrouver mes acces d'administrateur
Sinon, je pourai crée un nouveau PHPBoost tout propre mais j'ai bcp de donées deja presentes sur le site, donc ma question serai : quels sont les données des tables MySQL a garder ou meme les repertoires a saugarder sur le nouveau PHPBoost ?
La partie que je souaite garder avant tout est la partie "telechargement "
Merci de votre aide
Meilleures salutations

J'ai enfin trouver la solution, peut etre pas la meilleure mais sa refonctionne
Je pense que vous pouvez supprimer ce topic, il ne rendra service a perconne sur le forum
Merci et excuser moi de m'avoir pas trouver la solution avant de poster ce message.

Si tu donne la solution, il rendra surement service à quelqu'un.

J'ai le même problème de temps en temps, ainsi qu'un message indiquant que je n'ai pas le niveau requis. Tout cela lorsque j'essaie de modifier des trucs en admin.

En général, un retour sur la page précédente et une re-validation permet de passer outre, mais bon, c'est parfois lourd.

D'autre part, j'ai remarqué des pertes légères sur la table phpboost_sessions (de l'ordre de 0.5 à 1ko), mais constantes.

c'est vrai que ces histoire d'attaques sont lourdes aussi pour moi , le niveau requis je l'ai deja eu plusieurs fois aussi alors que le niveau est sensé etre bon .

pour ton cas peter c'est peut etre lier au fait que tu zape entre des session phpbb, et phpboost, enfin c'est une supposition.

dans le doute t'est bien a jour ?

non non rien a voir , les deux sont vraiment distinct , y'a aucune association . juste une ressemblance graphique mais vraiment rien de meler .

c'est souvent quand tu es connecter sur un navigateur , et que tu veux te connecter sous un autre navigateur en meme temps .

ha oui bha sa oui, si tu a le meme pseudo sur deux pc ou meme navigateur, sa merdz forcement.
les session sont en fonction du pseudo, et si j'ai bien compris, le contrôle session, user, et SID font que forcement sa donne une alerte, mais dans ce cas le c'est pas un faux positif, mais réelement un positif.

le but de la détection crcf est justement d'éviter le vol de sesssion.

Je confirme que si tu travailles sur le même site avec deux navigateurs connectés simultanément sur le même compte utilisateur, tu obtiens ce message d'erreur car le jeton de protection est associé à une session (donc un navigateur) et à chaque fois que tu changes de navigateur, il t'attribue un nouveau jeton et celui que tu avais avant n'est plus valide, d'où le blocage de l'action.

Le problème là c'est qu'on peut difficilement faire quelque chose, si on change quelque chose, on allègera forcément le dispositif de sécurité, ce qui n'est pas forcément souhaitable.

merci pour ces explications . comment est ce gerer sur les autres cms ? c'est pour ma culture perso , car par exemple phpbb ne pose pas ce genre de soucis , j'imagine qu'ils utilisent une autre technique , mais as tu idée de leur façon de faire ?

Tous les CMS ne supportent pas la protection contre ce type d'attaques, je ne sais pas ce qu'il en est avec PHPBB, mais cela pourrait expliquer le fait que tu n'aies pas rencontré ce problème.

Sur PHPBoost on a mis le paquet sur cette protection, on a mis en place le maximum. C'est peut-être trop compte-tenu du nombre de fois où on nous rapporte des suspicions d'attaque par CSRF, mais si on est plus souple sur les vérifications, on diminue malheureusement l'efficacité de la protection.