| Sécurité Weblinks 0.96 : Une petite brèche ou un énorme bug ? |
Titre du sujet : Sécurité Weblinks 0.96 : Une petite brèche ou un énorme bug ?
par Ankyo sur 30/10/2008 22:21:22
Bonsoir tout le monde.
Je viens de voir qu’un utilisateur anonyme a pu utiliser des champs normalement désactivés dans le module Weblinks 0.96. Ces champs sont désactivés et ne sont pas accessibles via la page de soumission de liens (submit.php) même pour un administrateur. Pour avoir accès à ces champs, il faut passer par l’interface d’administration du module. Il s’agit des champs ‘Ville’ et ‘Numéro de Téléphone’.
Dans la folie, j’ai vite changé mon mot de passe utilisateur, et j’ai également protégé l’administration de Weblinks via un fichier htaccess. L’administration principale du site été déjà protégée par un htaccess.
J’ai regardé le fichier log de Protector (Version 3.1) y a rien concernant le module Weblinks.
Maintenant la question que je me pose est la suivante :
Cette personne a réellement eue un accès la partie d’administration de Weblinks ou elle est tout simplement tombée par le plus grand des hasards sur un bug donnant accès à ces champs ? Pour cela j’ai besoin de votre aide.
Si vous avez une idée ou une suggestion, n’hésitez surtout pas. Toutes les idées sont les bienvenues.
Par avance, Merci pour votre aide.
|
|
