Sécurité - Mises à jour

Archive

Messagepar JoceC » Ven 05 Mar 2010, 17:10

Bonjour à tous,

Avez-vous vous aussi cette faille :
http://www.oscommerce-fr.info/forum/ind ... opic=65402

Pour moi elle marche, savez-vous comment corriger le bug ?

/admin/customers.php/login.php?action=save HTTP/1.1

merci

JoceC
JoceC
Membre inactif
 
Messages: 6
Inscription: Mar 17 Fév 2009, 12:47

Messagepar oscim » Ven 05 Mar 2010, 17:40

Bonjour,

Cette faille est effective sur les version oscss 1.xxx, et ne passe plus sur la version 2


Cependant, logiquement, le dossier admin devrait être renommé.
Ce qui regle deja une bonne partis du probleme.

D'autre part, quelle version de oscss est utilisé ?
logiquement, apres avoir fait un saut sur le lien, et sur les differente reference liée au post sur le forum oscom,

Logiquement la lg 244 du appli top est censé evité cet ecueuil
Code: Tout sélectionner
//Admin begin
  if (basename($PHP_SELF) != FILENAME_LOGIN && basename($PHP_SELF) != FILENAME_PASSWORD_FORGOTTEN) {
    tep_admin_check_login();
  }
//Admin end
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Messagepar JoceC » Ven 05 Mar 2010, 18:09

Bonjour OSCIM,

merci pour ta réponse.

il me semble que c'est la version 1.1 oscss.

Il y a bien la ligne //Admin begin, mais ça ne change rien :(

Je vais déjà changer le dossier admin...

Merci,

joceC
JoceC
Membre inactif
 
Messages: 6
Inscription: Mar 17 Fév 2009, 12:47

Messagepar oscim » Sam 06 Mar 2010, 12:35

Tu peut aussi ajouter un htaccess avec rewriting, pour limiter le passage de ce type d'arguement.

Et aussi le liée a un htpassword...
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33


Retourner vers osCSS 1.1

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités

cron