Forum

Suivez le lien :

****Retiré****

Édité par Teki Le 23/03/2013 à 21h48

Ah oui...



Un petit message du staf peut être ?

Bonsoir,

Je sais pas si vraiment ça fonctionne...etc..mais bon, par précaution je retire le lien au cas ou ^^ Je fais suivre en interne

Merci,

Benji

Bonsoir,

alors tous ce que cela explique c'est comment on peu "forcer" l'apparition de la page de debug phpboost, ce qui peu donc renseigner 2-3 info sur le serveur mais sans plus de mon point de vu.

Sur que après si une personne autorise l'upload de fichier .php/.html elle aura peut être des problème sur son site mais ce sera de sa faite car elle aura autorisé ces extensions.

Cordialement, janus57

Ca fonctionne, j'ai testé.
En plus de la page de débug classique, on a accès à des infos du genre le windir, systemroot mais pas le php.ini.

Bonsoir,

pour cela il suffit de désactivr le mode débug, mais à l'heure actuelle cela a des effets secondaire.

Cordialement, janus57

C'est le serveur qui donnes toutes ses informations... Je vais faire en sorte de faire le tri

Bonsoir,

juste pour savoir comme ça est-il possible que dans la prochaine MAJ de phpboost il y est une protection qui empêche l’exécution de script via l'upload ?

genre un .htaccess qui dit que tous les fichier .py/.html etc... présent dans /upload/ soit envoyé au client et non exécute par le serveur/client.

En gros on upload un fichier .html la seul option qu'on aura sera de le télécharger et non l'afficher.

Comme ça cela rajoute une petite sécurité supplémentaire.

Cordialement, janus57

Bonjour.
Contrairement à ce que j'ai pu lire ailleurs, cette 'faille de sécurité' n'en est pas vraiment une. L'auteur de cette trouvaille pense qu'il est possible avec ça d'injecter du code malveillant.
Il n'en est rien puisque seules quelques informations sur le serveur sont affichées.
Quand au fait de pouvoir upload des scripts PHP, JS etc oui c'est faisable, mais c'est à l'administrateur de ne pas laisser faire n'importe quoi.

Sachez que si j'avais trouvé une faille aussi facilement exploitable, je n'aurai certainement pas posté le lien en public avec autant de légèreté..
M'enfin bref, il y en a qui s'affole pour un rien...

Aux modos : Désolé de la pollution



HS : @Swan

Réponse à ce message : http://chez-swan.net/forum/topic-2723+phpboost-faille-de-securite.php#m31245



Il n'y a aucune polémique, je ne vois pas pourquoi tu le prends comme ça.. J'ai voulu expliquer la situation sur ton site, mais les visiteurs ne sont visiblement pas les bienvenus..



Il faut arrêter de croire que tout le monde est contre vous.. Échauffer les esprits entre les 2 sites ? Tout d'abord, je ne fais partie d'aucune équipe, suis inscris uniquement sur le site officiel, mais je lis régulièrement le tien :

Malheureument, il m'est à l'heure actuelle impossible de m'inscrire sur CsN. J'ai essayé à de nombreuses reprises mais le code de vérification est toujours incorrect (7 essais). Et jusqu'à preuve du contraire, je ne suis pas encore 'biglouche'..

Ne t'inquiètes tu pas que le dernier membre à s'être inscrit chez toi remonte à plus de 2 semaines et demi ?

Malheureusement, il n'y a aucune possibilité pour un visiteur de te laisser un message : Tous les modules requièrent d'être membre pour pouvoir poster (même le livre d'or), et pas de module contact à l'horizon..



De plus, laisser un modérateur lancer des messages depuis sa haute tour afin d'accabler le pauvre mécréant qui daigne exprimer sa position sur le sujet ne donne pas vraiment envie de s'inscrire chez les Calimero.



Messieurs de PHPBoost, veuillez m'excuser par avance si encore une fois on vous accuse d'acharnement envers CsN, malgré qu'aucun membre de l'équipe de PBT ne s'exprime sur ce sujet, je sais pertinemment que vous allez être les cibles de reproches de la part de l'équipe Swanienne...



Merci.



Edit : Lancer une polémique ? Lis bien le sujet, je n'ai presque rien écrit et ai été rassurant dans mon deuxième message..

Ai-je diffamé PBT à travers ceci ? Je ne pense pas..

Édité par Teki Le 25/03/2013 à 09h50

Bien entendu, lorsque je parle de l'équipe swanienne, je parle de ton staff, libre à toi de voir comment tu les appelle..

Perte énorme engendrée ? Hormis les reproches qui fusent de l'équipe de CsN à chaque news (genre les sondages ne visant qu'à descendre la V4, merci la tour), je ne vois pas en quoi vous vous êtes impliqués dans cette version de PBT, donc je me demande réellement quel impact cela va avoir sur le projet..

Pour ce qui est des inscriptions, il est vrai que j'en ai fait une conclusion hâtive et m'en excuse. Mais étant simple visiteur ne pouvant s'inscrire, je n'ai pas tous les éléments.
Pour le contact, il est tellement noyé que j'ai du faire une recherche sur la page pour le trouver, m'enfin, ce doit être cette myopie qui m'empêche également de reconnaître un code de vérif.

Quand au bruit engendré, cela a commencé lorsque tu as mal interprété mon 'M'enfin bref, il y en a qui s'affole pour un rien... '.
L'avantage d'être sur le net est de pouvoir discuter et pouvoir reprendre à froid une discussion au lieu de s'emporter à tout bout de champ et de pouvoir relativiser, ce que visiblement, tu as du mal..

Teki,

n'étant que simple rédacteur je trouve très positif que quelqu'un comme toi se donne la peine de partager ce type d'information. C'est en confrontant le CMS à ce type de problématique que les devs pourront l'améliorer et je pense que ton intervention, même s'il ne s'agit pas d'une faille critique sera tout de même bien accueillie dans la mesure ou, ton intention n'est clairement pas négative.

Pour ma part, je te remercie et t'invite à ne pas te laisser échauder par quelque personne dont la seule raison d'intervenir ici semble être de pouvoir se défouler et de critiquer sans réelle motivation.

Espérant avoir l'occasion de te relire en ces lieux. Le peu que j'ai pu lire de tes écrits me donne l'impression d'avoir à faire à quelqu'un qui connait son sujet et il serait dommage de se passer de la pertinence de tes intervention.

@bientôt et bonne continuation


Bruno

Aiglobulles,
En effet mes interventions récentes ne se veulent pas négatives, même si le tact me manque parfois (excusez-moi si cela vous semble être le cas).

A propos de cette fameuse 'faille de sécurité',comme dit plus haut, je savais pertinemment en la postant que rien de dramatique n'était découvert, et c'est pour cela que je n'ai pas envoyé un MP aux admins. Peut-être aurais-je dû le faire pour éviter que certains ne soient gagnés par la panique ou que cela ne soit prétexte (un de plus) à un différent avec le site de Swan.

Me laisser malmener, non merci. J'ai la chance de ne pas faire parti de l'équipe et ainsi pouvoir m'exprimer à mon gré

Enfin, oui je connais plutôt bien PBT. Cela fait plus de 2 ans (il me semble) que je suis avec intérêt l'évolution de ce CMS. L'ayant installé et personnalisé pour plusieurs personnes, je m'accorde volontiers à dire que j'en connais quelques ficelles..

Au plaisir.

Bonjour Teki-Latex,

Tout d'abord merci du retour concernant ce problème. Les devs s'en occupent, donc de ce coté tout sera bientôt réglé.

Merci également du discernement que tu évoques dans ton message précédent. Ce n'était pas critique et tu postes sur le forum, si cela avait été le cas tu aurais envoyé un Mp aux admins.

Ton action me parait tout à fait posée et réfléchie et je n'y vois pas l'ombre d'une quelconque volonté de polémique, telle qu'évoquée dans un autre message sans grand intérêt.

Bienvenue en tout cas sur les forums de PHPBoost

Patrick... ne le dis à personne mais tu as posté ton dernier message dans le forum... pas dans la shoot