la correction
En effet je n’arrive pas a croire que certains “webmestres” ne fassent meme pas un peu de menage sur leurs serveurs et que malgre le listage du site (webserveur) dont ils ont la charge, comme etant un site avec des trous de securite, le desastre reste egal a lui meme.
En tout cas voic la correction , c’est a dire quel trou se trouve sur quel site et comment on peut les exploite.
http://www.bonaberi.com
Dans le champ reserve a l’e-mail, vous pouvez entrez un code en utilisant le XSS [ par exemple en ecrivant "><script>ton_code</script>] comme dans certains autres champs. En plus en entrant http://bonaberi.com/a vous obetnez une partie de la base de donnees contenant les emails des personnes ( environ 25000 adresses). Et comme si cela ne suffisait pas il y a sur le webserveur le backup de tout le site, accessible a tous. Pas etonnant que cesite fut deja sujet a d’attaques.
PS: je trouve cela un peu bizzare que vous ne repondez pas a mes multiples, le site est-il sur pilotage automatique ?? Si oui revenez au manuel ou bien changer un de cap: c’est bien plus grave que ca.
http://lepopoli.com En effet on peut contourner le login qui donne acces aux journaux, juste en suivant l’origine des images. Et ainsi utilise le site sans payer un sous.
PS: Au DG, faut pas virer le “responsable” que j’ai call a 10h et il etait sortit la.
Et pour les autres, qui sont seulement vulnerables au XSS, il suffit d’entrez un code en utilisant un champ du site[ par exemple en ecrivant "><script>ton_code</script>] et le code sera execute par le webserveur.
Bon je crois qu’avec ceci, les choses changeront bientot pour le bonheur des internautes.
Category: all
September 4th, 2007 at 6:31 am
[IMG dislike] Gravitational anomaly in Gunsight mine by gozino 8 hours ago. Votes: 1 Score: 24 (www.gozino.net) new window 0 comments 24. [IMG like] [IMG dislike]la correctionby septox 10 hours ago. Votes: 1 Score: 24 (lowe.wangandmin.com) security web xss new window 0 comments 25. [IMG like] [IMG dislike] Cliff Jennings and “Cooler Box”
September 4th, 2007 at 10:49 pm
Mince alors le Septox,
Tu ne leur laisses plus le choix là, il faut corriger sinon tout le monde va hackr leurs sites..
En tout cas, tu les corriges là
September 5th, 2007 at 10:20 am
Septox, merci. On a corrigé ce qu’il fallait sur Bonaberi.com.
Par contre, je serai bien heureux de savoir comment tu as fait pour savoir qu’on avait un backup du site ?
September 5th, 2007 at 10:23 am
Au fait, je remercie Nino de nous avoir fait passer l’information hier soir.
Parce que des mails de Septox ou des coups de fil (faudrait déja voir nos numéros), on n’en a pas eus.
September 5th, 2007 at 10:50 am
Autre chose Septox : aurais-tu identifié d’autres failles sur le site, au delà du fichier ‘a’ qui traînait sur le serveur et les pbs de Cross scripting ?
September 7th, 2007 at 11:13 am
uhmm,
en tout cas moi j’ai send les mails a contact(at)bonaberi(dot)com, et ce depuis l’annee passee.
le coup de fil n’etait pas chez bonaberi.com mais plutot chez popoli.com
le fichier “a” trainait la depuis novembre 2006, me signala “scoubi”
Comment j’ai su qu’il y avait le backup sur le site ? , uhmm, je dirais simplement que tout le monde n’est pas aveugle et
que “scoubi” m’a demande ce qu’il fait des qu’il trouve un fichier compressé, eh bien j’ai repondu: copie-le rapidement
c’est donc apres analyse “humaine” que je constata que c’est le backup du site.
Autres choses ?? oui ( A, N ) mais pas quand meme ici , priere de me contacter.
September 7th, 2007 at 1:18 pm
Eh bah voilà, l’histoire retiendra que Septox est à l’origine du vaste programme de renforcement de la sécurité des sites afros!
Mince, tu as ta place dans les livres d’histoire. Tu peux coinch en paix
September 7th, 2007 at 1:19 pm
C’est qui scoubi au fait? Un tiers acteur ?
September 7th, 2007 at 2:54 pm
Je ne verrais pas la chose ainsi,
mais plutot coe celui la qui montre les “trous” de securite de quelques sites africains, mais je suis tres tres fier du fait que certains aient rapidement colmate les trous meme comme il a fallut une “correction” pour les autres le fassent.
Je pense pour ma part que la securite des donnees et des programmes (africains) donne une certaine garantie de qualite a l’echelle internationale.
Ma devise: “Des que je vois un way, je signale vite vite ”
N’allez pas croire que je veux les dos ou de la “motivation”, je veux juste une certaine qualite ( mais si je recois un truc, je ne m’en plaidrais pas: je ne parle pas des virus !!
)
Au fait “scoubi” est mon compagnon de tjrs, voici une description de sa permiere version.
September 8th, 2007 at 7:51 pm
Septox, tu adoptes l’attitude de tous les developpeurs qui sont soucieux des failles qu’ils trouvent et en parlent rapidement; aux concernes d’abord et a tt le monde ensuite. That’s great. C’est un comportement qu’on rencontre encore plus dans les communautes open source que je suppose, tu dois souvent frequenter
September 9th, 2007 at 10:17 am
Tout a fait !!!
Mais on est plus fier quand tout cela sert au moins a quelque chose.
September 14th, 2007 at 11:05 pm
@Nino
C’est à dire qu’heiiin, dès qu’il y’a un cacou louche, genre faille de sécurité et tout, tu n’es jamais loin quoi.
Bon petite chambrade coe ça en passant.
@septox
Mais sinon, je voulais aussi me joindre aux autres: cool boulot le septox. Tu bois petit quoi glacé avec la sueur dessus?
@Tchoko
Je dis hein p’hi frè, tu ask les failles de ton système en pleine poste centrale, tu sais que ça va djoum dans les oreilles de qui?
@tous
Ce qui serait bien, ça serait un outil du type de JUnit, avec lequel chaque responsable de site pourrait définir ces tests, qu’il executerai à chaque mise à jour. Comme cela, il est sûr qu’il y’a pas de rechute.
Ed.de.la.Decentralisation