Fork me on GitHub




(1) 2 »


Xoops 2.5.10 - Violation de sécurité
Régulier
Inscrit: 14/12/2015 23:48
Messages: 177
Salut les xoopsiens(ennes)
J'espère que vous allez tous bien.
J'ai découvert aujourd'hui par hasard une chose bizarre sur mon site de test en affichant le code source de l'une de mes pages gérés par le module Wfdownloads. J'ai le code ci-après qui a été injecté (je ne sais pas comment ou où) tout à la fin après la fermeture de la balise html :

<script type="text/javascript">

    $(
'.magnific_zoom').magnificPopup({
        
type'image',
        
image: {
            
cursor'mfp-zoom-out-cur',
            
titleSrc"title",
            
verticalFittrue,
            
tError'The image could not be loaded.' // Error message
        
},
        
iframe: {
            
patterns: {
                
youtube: {
                    
index'youtube.com/',
                    
id'v=',
                    
src'//www.youtube.com/embed/%id%?autoplay=1'
                
}, vimeo: {
                    
index'vimeo.com/',
                    
id'/',
                    
src'//player.vimeo.com/video/%id%?autoplay=1'
                
}, gmaps: {
                    
index'//maps.google.',
                    
src'%id%&output=embed'
                
}
            }
        },
        
preloadertrue,
        
showCloseBtntrue,
        
closeBtnInsidefalse,
        
closeOnContentClicktrue,
        
closeOnBgClicktrue,
        
enableEscapeKeytrue,
        
modalfalse,
        
alignTopfalse,
        
mainClass'mfp-img-mobile mfp-fade',
        
zoom: {
            
enabledtrue,
            
duration300,
            
easing'ease-in-out'
        
},
        
removalDelay200
    
});
</script>

Tout semble normal sur les pages affichées par les navigateurs, c'est la raison pour laquelle je n'ai jamais rien observé auparavant, et il a fallu afficher le code de source pour s'en rendre compte.
Je n'ai jamais eu ce problème sur mon site de production tournant sous Xoops 2.4 et Protector 3.4.
Est-ce une vulnérabilité relative à Xoops 2.5.10/Protector 3.61 ou au module Wfdownloads qui est en version beta ?
Merci BCP pour vos lumières..

Posté le : 08/11/2020 13:06

"Nulle pierre ne peut être polie sans friction" [Confucius]
Partager Twitter Partagez cette article sur GG+
Re: Xoops 2.5.10 - Violation de sécurité
Newbie
Inscrit: 09/03/2007 11:05
Messages: 16
salut,
prend bien en compte mes propos :
je suis webmaster et petit programmer de site web,
j ai eu utilisé xoops à l'époque, le partage du savoir, de codes dans un groupe et de plus gratuit le top MAIS...

Il te faut réaliser que aujourd'hui les idées des année 1998 sont PERDU !

Xoops comme d'autres plateformes sont corrompu par certaines personnes, il injecte du code et des modules pour rentrer sur Ton serveur et pouvoir le modifier, actionner du code sur ton serveur à bute lucratif pour gagner de l'argent...

xoops est très chargé et pollué de codes divers par leurs auteurs et contributeurs. Toi tu fais un site avec cette plate forme et les autres vont l'utiliser pour récupérer des mail, envoyer des mail, poster de la pub sur tes sites, récup des login/pass et d'autres...

faut arrêter d'utiliser ces plates formes en pensant que tout est gentil et gratuit. seul solution : taper ton code de production pour faire tes propres sites...

de toute façon mon post va être effacé dès que l'admin va le voir

Aikaik

Posté le : 08/11/2020 14:25
Partager Twitter Partagez cette article sur GG+
Re: Xoops 2.5.10 - Violation de sécurité
Admin Frxoops
Inscrit: 16/03/2009 16:40
De Tende (06)
Messages: 3528
Que penser de ce genre d'allégations...
Je ne vois pas pourquoi tu cherches à salir la réputation de Xoops.

Ah, peut-être pour te faire de la pub vu que tu mets un lien vers ton site internet dans ton message.

Posté le : 08/11/2020 14:38

Open in new window

Xoopseuse Mai 2012 | Responsable équipe internationale | Recherche avancée en bas de page !
Partager Twitter Partagez cette article sur GG+
Re: Xoops 2.5.10 - Violation de sécurité
Semi pro
Inscrit: 26/07/2011 14:05
De Fleurus (W-B) (Belgique)
Messages: 792
Citation :
weldoo a écrit :
salut,
prend bien en compte mes propos :
je suis webmaster et petit programmer de site web,
j ai eu utilisé xoops à l'époque, le partage du savoir, de codes dans un groupe et de plus gratuit le top MAIS...

Il te faut réaliser que aujourd'hui les idées des année 1998 sont PERDU !

Xoops comme d'autres plateformes sont corrompu par certaines personnes, il injecte du code et des modules pour rentrer sur Ton serveur et pouvoir le modifier, actionner du code sur ton serveur à bute lucratif pour gagner de l'argent...

xoops est très chargé et pollué de codes divers par leurs auteurs et contributeurs. Toi tu fais un site avec cette plate forme et les autres vont l'utiliser pour récupérer des mail, envoyer des mail, poster de la pub sur tes sites, récup des login/pass et d'autres...

faut arrêter d'utiliser ces plates formes en pensant que tout est gentil et gratuit. seul solution : taper ton code de production pour faire tes propres sites...

de toute façon mon post va être effacé dès que l'admin va le voir

Aikaik


Bonjour weldoo, ha bon mais mon site n'est pas un grand site important sais un tout petite site baser sur ma passion je voie pas l’intérêt de le pirater enfin bref je suis avec xoops de puis plusieurs année maintenant et j'en suis très content mais bon sa résolue pas mon problème avec mon module xnews 1.71

Posté le : 08/11/2020 14:43

Je suis souvent copié mais "copié = Synonyme de célébrité" Alors continuez mes fans.
Site Radioamateur Belge
Partager Twitter Partagez cette article sur GG+
Re: Xoops 2.5.10 - Violation de sécurité
Semi pro
Inscrit: 26/07/2011 14:05
De Fleurus (W-B) (Belgique)
Messages: 792
Citation :
Cesagonchu a écrit :
Que penser de ce genre d'allégations...
Je ne vois pas pourquoi tu cherches à salir la réputation de Xoops.

Ah, peut-être pour te faire de la pub vu que tu mets un lien vers ton site internet dans ton message.


Bonjour Cesagonchu, moi je suis très content de xoops malgré les petit soucis que je rencontre car je ne suis pas un grand webmaster qui connais le code sur le bout de sais doigts mais bon je me débrouille comme je peut mais moi j’aime bien xoops long vie a Xoops...

Ps: mais sa résolue pas mon soucis avec le module xnews 1.71

Posté le : 08/11/2020 14:46

Je suis souvent copié mais "copié = Synonyme de célébrité" Alors continuez mes fans.
Site Radioamateur Belge
Partager Twitter Partagez cette article sur GG+
Re: Xoops 2.5.10 - Violation de sécurité
Admin Frxoops
Inscrit: 16/05/2003 18:10
De Rhone-Alpes
Messages: 4051
SAlut Aminov,

c'est pas un script intégré à ton thème par hasard ?

Fait une recherche dans les fichiers de ton thème.

Ici, c'est un Zoom.

Posté le : 08/11/2020 15:40

Open in new window
Partager Twitter Partagez cette article sur GG+
Re: Xoops 2.5.10 - Violation de sécurité
Régulier
Inscrit: 14/12/2015 23:48
Messages: 177
Citation :
alain01 a écrit :
SAlut Aminov,
c'est pas un script intégré à ton thème par hasard ?
Fait une recherche dans les fichiers de ton thème.
Ici, c'est un Zoom.

Salut Alain
Non, ça n'a rien à voir avec mon thème, que j'utilise d'ailleurs depuis des années sans problème.
Je répète bien que je n'ai pas ce problème avec mon site de production. Cela concerne juste le site de test, et pour être plus précis, le module Wfdownloads. Quand j'affiche le code source de ma home page ou des pages du forum, je ne vois pas ce code.
Je me rappelle que j'ai oublié mon "mainfile.php" accessible en écriture sur mon serveur pendant plusieurs jours. Est ce que c'est l'origine de la faille ?
Comment localiser le fichier où l'injection de code a été faite ?
Pourquoi je ne vois rien sur les pages rendus par le navigateur ? Que fais exactement ce script ?

Posté le : 08/11/2020 17:31

"Nulle pierre ne peut être polie sans friction" [Confucius]
Partager Twitter Partagez cette article sur GG+
Re: Xoops 2.5.10 - Violation de sécurité
Régulier
Inscrit: 14/12/2015 23:48
Messages: 177
Citation :
weldoo a écrit : Xoops comme d'autres plateformes sont corrompu par certaines personnes, il injecte du code et des modules pour rentrer sur Ton serveur et pouvoir le modifier, actionner du code sur ton serveur à bute lucratif pour gagner de l'argent...

Salut Weldoo et merci pour votre commentaire.
J'avoue que j'utilise Xoops depuis bien des années maintenant et je n'ai jamais eu de problème de ce genre (côté sécurité) à part des inscriptions en spam.
Je ne suis pas développeur comme toi, Xoops me simplifie donc bien les choses, surtout quand le site ne draine pas bcp de revenus pour justifier un investissement

Posté le : 08/11/2020 17:43

"Nulle pierre ne peut être polie sans friction" [Confucius]
Partager Twitter Partagez cette article sur GG+
Re: Xoops 2.5.10 - Violation de sécurité
Admin Frxoops
Inscrit: 04/03/2011 09:10
De Lot
Messages: 2837
Pour ma part, au vu du code, je dirai que c'est un popup, zoom ou autres du même genre.
Peut-être un code généré par wfdownload,pour et injecté dans le code, comme beaucoup de JS d'ailleurs
tu devrai trouver le code en dure dans les fichiers PHP du module

Pour injecter du code en dur, il n'y a pas cinquante entrées, dans l'ordre de probalité :
- accès via le FTP/SFTP pour modifier le template, donc modifier les code FTP
- accès via l'admin, vérifier les droits utilisateurs et groupes
- injection via blockadmin ou modif thème (probable mais on aurai plusieurs signalements)
- injection via l'hébergeur, ce n'est pas impossible mais très rare

Posté le : 08/11/2020 18:38
Partager Twitter Partagez cette article sur GG+
Re: Xoops 2.5.10 - Violation de sécurité
Régulier
Inscrit: 14/12/2015 23:48
Messages: 177
Citation :
montuy337513 a écrit : Pour ma part, au vu du code, je dirai que c'est un popup, zoom ou autres du même genre.
Peut-être un code généré par wfdownload,pour et injecté dans le code, comme beaucoup de JS d'ailleurs
tu devrai trouver le code en dure dans les fichiers PHP du module

En effet le code a été injecté au niveau du fichier "singlefile" du module Wfdownloads, mais après investigation je découvre que ce script n'a pas été injecté via mon serveur ou mon site (un grand soulagement) mais il est plutôt sur le fichier tel que téléchargé à partir de Github ! Cela mérite une investigation par les admins..
Voici le liens du fichier sur Github :
https://github.com/mambax7/wfdownloads ... .30_Beta-1/singlefile.php

Ce code est présent également sur la version 3.23 :
https://github.com/XoopsModules25x/wfd ... lob/master/singlefile.php


Posté le : 08/11/2020 19:59

"Nulle pierre ne peut être polie sans friction" [Confucius]
Partager Twitter Partagez cette article sur GG+

 Haut   Précédent   Suivant
(1) 2 »



Vous pouvez voir les sujets.
Vous ne pouvez pas débuter de nouveaux sujets.
Vous ne pouvez pas répondre aux contributions.
Vous ne pouvez pas éditer vos contributions.
Vous ne pouvez pas effacez vos contributions.
Vous ne pouvez pas ajouter de nouveaux sondages.
Vous ne pouvez pas voter en sondage.
Vous ne pouvez pas attacher des fichiers à vos contributions.
Vous ne pouvez pas poster sans approbation.

Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

66 Personne(s) en ligne (54 Personne(s) connectée(s) sur Forum) | Utilisateur(s): 0 | Invité(s): 66 | Plus ...