Cool Forum

 
 
Cool Forum » Support » Administrateurs » Grosse faille de sécurité !!!
Connexions
1 connecté(s) sur le forum actuellement: 0 membre(s) | 1 invité(s)
 
  
 
<<Sujet précédent     Sujet suivant>>


 
 
Auteur Imprimer le topic Message

 
 
Zinnat

Titulaire

Bêta-testeur certifié ISO 9000

Enregistré le 28/09/2001
Messages: 353
Non connecté

Sujet : Grosse faille de sécurité !!!
Ajouté le : 12/01/2002 13:44
Message :

Je suis tombé sur une méga-faille de sécurité concernant les forums ne pouvant pas envoyer d'e-mail, comme le mien, hébergé chez free.
N'importe qui pouvait obtenir mon mot de passe avec l'option "Mot de passe perdu" qui apparait lorsqu'on clique sur "S'identifier".
En effet, la table ne contenait rien dans les champs "Question" et "Réponse". Après avoir entré mon pseudo et mon mot de passe, il suffisait donc de cliquer deux fois sur Valider pour voir apparaître mon mot de passe !!!
ARGGGGGGGGGGGGGGGGGGGGGGGGGG !!!!!!!

Je me suis empressé d'essayer sur le forum de CoolForum... mais comme il peut envoyer un e-mail, ben ça n'a pas marché. (Coyote, t'as du recevoir un e-mail te redonnant ton mot de passe... C'est moi le coupable !)

Donc, voilà, je pense qu'il faut avertir le maximum de personnes concernés par cette faille. Ca pourrait faire de sacrés dégâts !

-Zinnat
Recharger l'url avec lien direct vers ce message Imprimer le message Aller en bas de page Aller en haut de page Editez ce post (réservé aux modérateurs) Avertissez l'administrateur si le post est non conventionnel Envoyer un email à Zinnat!!! Visitez le site de Zinnat!! Envoyer un Message Privé à Zinnat Citer ce post dans votre réponse

 
 
Lestat

Titulaire

Enregistré le 11/01/2002
Messages: 273
Non connecté

Ajouté le : 12/01/2002 14:00
Message :

Effectivement je viens de tester, et ça craint

My name is Bon, Jambon
Recharger l'url avec lien direct vers ce message Imprimer le message Aller en bas de page Aller en haut de page Editez ce post (réservé aux modérateurs) Avertissez l'administrateur si le post est non conventionnel Envoyer un email à Lestat!!! Envoyer un Message Privé à Lestat Citer ce post dans votre réponse

 
 
Zinnat

Titulaire

Bêta-testeur certifié ISO 9000

Enregistré le 28/09/2001
Messages: 353
Non connecté

Ajouté le : 12/01/2002 15:07
Message :

Bon, je crois que c'est juste un oubli du fait de l'impossibilité avec certains hébergeurs d'envoyer des e-mails de confirmation.
D'un autre côté, l'accès complet à la bdd n'est accessible qu'avec un autre mot de passe (enfin, un principe, c'est un autre... parfois c'est le même qui est choisi par l'administrateur).
N'empêche, si ça tombe sous les doigts de personnes malveillantes, ça peut faire des dégâts.
Je sais même pas si c'est une bonne idée d'avoir posté ce message, tiens.
Faudrait peut-être effacer tout ça...
COYOTE, on a besoin de toi !!!

-Zinnat
Recharger l'url avec lien direct vers ce message Imprimer le message Aller en bas de page Aller en haut de page Editez ce post (réservé aux modérateurs) Avertissez l'administrateur si le post est non conventionnel Envoyer un email à Zinnat!!! Visitez le site de Zinnat!! Envoyer un Message Privé à Zinnat Citer ce post dans votre réponse

 
 
Cool Coyote

Pilier

Administrateur

Enregistré le 26/09/2001
Messages: 2629
Non connecté

Ajouté le : 13/01/2002 03:39
Message :

bon je le met en tête des bugs à corriger, de toute façon la prochaine version ne devrait plus tarder.
En attendant dans phpMyAdmin, remplit à la main tes 2 champs question et réponse. C'est du bricolage, mais ça devrait marcher en attendant.

Merci pour l'info

Merci de respecter les règles d'ajout de messages !!

Avant de poser une question:

[Documentation] - [FAQ] - [Recherche]


Cool Coyote - Webmaster (me contacter)
Recharger l'url avec lien direct vers ce message Imprimer le message Aller en bas de page Aller en haut de page Editez ce post (réservé aux modérateurs) Avertissez l'administrateur si le post est non conventionnel Envoyer un Message Privé à Cool Coyote Citer ce post dans votre réponse

 
 
Cool Coyote

Pilier

Administrateur

Enregistré le 26/09/2001
Messages: 2629
Non connecté

Ajouté le : 13/01/2002 03:45
Message :

Je viens de voir et le problème est bien là, c'est simplement parce qu'il n'y a rien dans ces champs. Remplissez les et ça bouchera le trou. Pour la prochaine version je vais faire en sorte qu'il y ait quelque chose d'origine dans ces champs

Merci de respecter les règles d'ajout de messages !!

Avant de poser une question:

[Documentation] - [FAQ] - [Recherche]


Cool Coyote - Webmaster (me contacter)
Recharger l'url avec lien direct vers ce message Imprimer le message Aller en bas de page Aller en haut de page Editez ce post (réservé aux modérateurs) Avertissez l'administrateur si le post est non conventionnel Envoyer un Message Privé à Cool Coyote Citer ce post dans votre réponse

 
 
Merguez

Titulaire

Partiiiiiii

Enregistré le 30/11/2001
Messages: 224
Non connecté

Ajouté le : 13/01/2002 05:12
Message :

C'est un bug que j'ai signalé il y'a quelque temps...



Sujet : Problème de sécurité...
Posté le : 17/12/2001 19:32
--------------------------------------------------------------------------------
Message :
Ca serait cool que quand on s'inscrit la question et le mot de passe soit obligatoire parceque celui ki s'inscrit (en mode mail désactivé) si y laisse les champs question et passe vide y peut se faire carroter (comme dirait Jean-Pascal ) son mot de passe...
et là c le début de la galère pour l'admin du forum....



--------------------------------------------------------------------------------
Mais on m'écoute pas !

Merguez
Recharger l'url avec lien direct vers ce message Imprimer le message Aller en bas de page Aller en haut de page Editez ce post (réservé aux modérateurs) Avertissez l'administrateur si le post est non conventionnel Visitez le site de Merguez!! Envoyer un Message Privé à Merguez Citer ce post dans votre réponse

 
 
Zinnat

Titulaire

Bêta-testeur certifié ISO 9000

Enregistré le 28/09/2001
Messages: 353
Non connecté

Ajouté le : 13/01/2002 11:15
Message :

Coyote,
Oui, j'ai bien pensé à "boucher les trous" avec phpmyadmin dès que j'ai compris l'étendu des dégâts que ce bug pouvait faire...

Merguez,
Effectivement, t'avais déjà soulevé (en partie) ce problème. A l'époque, j'avais pas bien pigé que ça pouvait concerner AUSSI le super admin !

-Zinnat
Recharger l'url avec lien direct vers ce message Imprimer le message Aller en bas de page Aller en haut de page Editez ce post (réservé aux modérateurs) Avertissez l'administrateur si le post est non conventionnel Envoyer un email à Zinnat!!! Visitez le site de Zinnat!! Envoyer un Message Privé à Zinnat Citer ce post dans votre réponse

 
 


<<Sujet précédent     Sujet suivant>>

 
[Contacter l'administrateur] | [Aller sur CoolForum.net]

 
[12 requêtes] - [Page générée en 0.0331 secondes]
 

Powered by CoolForum v.0.8.5 beta
Copyright ©2001-2014 CoolForum.net