creatifmen

Sécurité, faille + divers

Messages recommandés

creatifmen    27


@cybertaf @PeterRabbit @pwepwe973 @EBS01

coucou tout le monde..
je viens de voir qu' il vas y avoir une version 9 trop cool
merci d avance a tous les développeurs de zwii qui se donne de la peine.

pour la version 8.5xx & la futur 9 serait cool de réglée peux être certain problème de sécurité.
(comme je ni connais po grand choses il faudrait une personne qui confirme mes écrits..)

1.
problème de sécurité faille csrf
exemple effacer la page enfant de zwii
si vous êtes connectés a votre site ex: http:/votresite.fr

si une personne mal intentionné envoie un lien comme celui ci-dessous  ,ou camoufle le liens dans un fichier url ,ou crée un bouton a cliqué,ou cree un plugin avec un bout de code malicieux..
http:/votresite.fr/?page/delete/enfant
si  vous cliqué dessus la page enfant  s'effacera...

quand  l'ont efface une page ça ne devrait pas afficher ça
http:/votresite.fr/?page/delete/enfant

mais plutôt ressembler a  ça non?
http:/votresite.fr/?page/delete/enfant &jeton=b6cf20590a57f4685c9bdc6c53d12ff8


2.
problème de sécurité faille json ( hacker le 1er compte user)
dans le fichier json
en suppriment le 1er utilisateur et le password ont peut  rentrée en mode administrateur.
ex    "user":{"q"            "password":"$2y$10$4Ky6LAtSPc8o6........"      
par
ex    "user":{""            "password":""

bon il faut encore pouvoir envoyer un bout de code genre str_replace   ...$modif = json_decode(file_get_contents....  

Voila après 20minutes je viens de crée la routine en php  qui pourrais ce glisser dans n'importe quelle plugin véroler (mais pas de soucis la routine  je la garde pour moi).
c'est  juste pour le fun.
si moi j y arrive qui ne maitrise rien c'est grave..

hackok.png.a8c25540234006a98f7ea759d4593ba4.png
impossible de ce déconnecter il reste connecter en permanence

hack00.thumb.png.47ad205c2335e33a6f75ee9faba3b691.png

voila a++

3.

rien a  voir avec la sécurité

(ne pas conserver les proportions de l'image)
régler le problème de proportion d'image (ne pas conserver les proportions de l'image)
 ne fonctionne toujours pas..
pro.png.a5632de5d94493fa21f9e351618cd420.png
voila..
Je vous souhaite un bon réveillon à tous ,et une  bonne année 2019
spécial merci a PeterRabbit  qui se donnent beaucoup de peine a répondre avec pédagogie à toutes nos questions.

a+

Modifié par creatifmen
  • Haha 1

Partager ce message


Lien à poster
Partager sur d’autres sites
cybertaf    146

Hello,


Je te réponds vite fait :
1 - ton "hack" fonctionne si on est connecté, pour moi ce n'est pas un problème.
2 - pour que ton "hack" fonctionne,  il faut accéder au dossier avec les droits en écriture ce qui est interdit pas le htaccess de "l'extérieur"

Donc normalement un utilisateur n'aura jamais accès au dossier, sauf à disposer d'un accès FTP.
 

# Bloque l'accès aux données
<Files data.json>
	Order deny,allow
	Deny from all
</Files>

Cela dit j'ai déjà procédé de même par le passé quand un de mes étudiants avait perdu son username et mot de passe et que l'installation  ne permettait pas l'envoi de mail.

3 - le problème des proportions est lié à l'éditeur pas à Zwii dans une mise à jour prochaine peut-être.

 

Bon réveillon et bonne année 2019.

 

  • Thanks 1

Partager ce message


Lien à poster
Partager sur d’autres sites
cybertaf    146

De mémoire, le problème de la proportion de l'image est lié à la config CSS de Zwii... et il me semble que personne n'avait trouvé la solution.

 

Je viens de tester sur une version récente de TINYMCE et le "problème" est toujours présent, donc il n'est pas en cause, à creuser...

 

Le plus simple pour le moment de mettre les images à la taille en dehors du CMS...

  • Thanks 1

Partager ce message


Lien à poster
Partager sur d’autres sites
creatifmen    27

-Pour les 2 failles, le plus important c'est que les personnes qui utilise ZWII soient au courant des risques..
au moins comme ça ils sont prévenus..

-Pour TINYMCE  tu as raison personne n'as trouver comment faire..

 

Merci pour ta réponse avant la fin de l'année.

je rajoute juste...même que tu es le codeur et moi un simple utilisateur..
que ta réponse me semble pas adapté a la gravité des failles.
 

mais je respect totalement ton opinion et tout le travail que tu fournis.
a++ place au champagne maintenant.
 

Modifié par creatifmen
  • Like 1

Partager ce message


Lien à poster
Partager sur d’autres sites
PeterRabbit    383
Il y a 23 heures, cybertaf a dit :

Le plus simple pour le moment de mettre les images à la taille en dehors du CMS...

 

Oui... et non.

650 x 100 à partir de TinyMCE, sur la 9 :

 

proportions.png.1d780010ac6dae037b622e3037ab123d.png

 

Mais il y a bien un bug dans Tiny.

Meilleurs vœux à tous ! :cocktail:

 

Modifié par PeterRabbit
  • Like 1

Partager ce message


Lien à poster
Partager sur d’autres sites
cybertaf    146
Il y a 23 heures, PeterRabbit a dit :

 

Oui... et non.

650 x 100 à partir de TinyMCE, sur la 9 :

 

proportions.png.1d780010ac6dae037b622e3037ab123d.png

 

Mais il y a bien un bug dans Tiny.

Meilleurs vœux à tous ! :cocktail:

 

Bonne année lapin taquin..
Comment t'y es-tu pris ? éditeur interne ?

 

 

  • Like 1

Partager ce message


Lien à poster
Partager sur d’autres sites
EBS01    20

Bonsoir,

 

Tout d'abord, bonne année 2019 à tous !

 

Pour les 2 "problèmes" de sécurité :

 

1- première règle, on ne clique jamais sur un lien (ou un bouton) provenant d'un mail sans vérifier le lien.

Idem pour un plugin, toujours étudier un minimum son contenu ne serait-ce que pour vérifier qu'il ne récupère par des mots de passe pour les envoyer à une personne mal intentionnée...

Ensuite peut-être rajouter dans zwii un message de confirmation avant de supprimer une page (y en a peut-être déjà un, je n'ai pas vérifié en ce 1er de l'an).

 

2- idem, vérifier les plugins...c'est de partout  pareil, du moment que le code est en open-source, tout le monde peut l'étudier et créer un plugin "malsain".

D'où ma prévision dans la gestion des plugins de proposer des plugins "officiels" (écrits ou vérifiés par l'équipe Zwii) et les "non-officiels" pour lesquels chaque utilisateur prendra la responsabilité de les déployer ou non.

 

Jérôme

 

  • Like 1

Partager ce message


Lien à poster
Partager sur d’autres sites
creatifmen    27

Très intéressant..
du coup je ne parlerai pas des autres exploits que j'ai perdu du temps a trouver.

a++
 

Modifié par creatifmen
  • Sad 1

Partager ce message


Lien à poster
Partager sur d’autres sites
EBS01    20

Tout dépend de ce que tu as trouvé.

 

S'il s'agit de "failles" après avoir modifié un (ou des) fichier(s) de Zwii (PHP, json) alors les développeurs ne pourront pas faire grand chose ; ça aidera juste les personnes qui sont moins à l'aise avec le code à comprendre ce qu'ils doivent vérifier avant d'installer tel ou tel plugins.

 

Si par contre, sur un Zwii officiel et sans la moindre modification, tu as trouvé le moyen de te connecter sans mot de passe ou en tant qu'administrateur alors que tu ne l'est pas, à accéder directement à des fichiers (PHP, json, ressources), à récupérer la liste des utilisateurs/mots de passe, à modifier/supprimer des éléments sans être connecté avec un compte admin, etc. 

alors oui, il s'agit d'une vrai faille de sécurité.

 

Jérôme

Partager ce message


Lien à poster
Partager sur d’autres sites
cybertaf    146
il y a une heure, EBS01 a dit :

Si par contre, sur un Zwii officiel et sans la moindre modification, tu as trouvé le moyen de te connecter sans mot de passe ou en tant qu'administrateur alors que tu ne l'est pas, à accéder directement à des fichiers (PHP, json, ressources), à récupérer la liste des utilisateurs/mots de passe, à modifier/supprimer des éléments sans être connecté avec un compte admin, etc. 

alors oui, il s'agit d'une vrai faille de sécurité.

 

C'est exactement ça, cependant n'hésite jamais à faire part de tes trouvailles @creatifmen

Partager ce message


Lien à poster
Partager sur d’autres sites
creatifmen    27

@cybertaf @PeterRabbit @pwepwe973 @EBS01 @CroqueWeb

 

Pas de soucis

1 faille ou exploit  après l'autre...

quand la faille csrf sera comblée..
J'enverrais par email la prochaine faille trouver par email a Peterabbit ou a Rémi et ainsi de suite..

 

pour ma part je quitte le forum définitivement.
encore bravo de maintenir ZWII

Creatifmen

  • Sad 1

Partager ce message


Lien à poster
Partager sur d’autres sites
cybertaf    146

Salut @creatifmen

Renseignement pris, tu as parfaitement raison, selon ce que décrivent certains articles, cette faille est bien présente, bien que personnellement, je la trouve difficile à mettre en œuvre.

Malgré tout, une partie du code de Zwii est censé la prendre en compte :

	/**
	 * Check du token CSRF (true = bo
	 */
	public function checkCSRF() {
		return ((empty($_POST['csrf']) OR hash_equals($_SESSION['csrf'], $_POST['csrf']) === false) === false);
	}

Je vais donc jeté un œil sur cela.

Au-delà de cela, même si je ne suis pas autant présent que @PeterRabbit sur le forum, je passe beaucoup de temps sur le dév de Zwii, fruit du travail  mis à la disposition de la communauté. Pour mémoire, Rémi m'a donné les clés du site Zwii il y a 8 mois, et depuis de nombreuses mises à jour ont été publiées.

Je te remercie de ne pas complétement l'oublier, parce que tes demandes ne sont pas prises en compte immédiatement.

Partager ce message


Lien à poster
Partager sur d’autres sites
PeterRabbit    383
Il y a 2 heures, cybertaf a dit :

Au-delà de cela, même si je ne suis pas autant présent que @PeterRabbit sur le forum, je passe beaucoup de temps sur le dév de Zwii, fruit du travail  mis à la disposition de la communauté. Pour mémoire, Rémi m'a donné les clés du site Zwii il y a 8 mois, et depuis de nombreuses mises à jour ont été publiées.

Je te remercie de ne pas complétement l'oublier, parce que tes demandes ne sont pas prises en compte immédiatement.

 

Il me semble que tout le monde le reconnaît et t'en remercie, à commencer par @creatifmen et le temps que je passe sur le forum ne me rend pas beaucoup plus compétent.

Ce n'est pas tant le délai dans la solution que la façon dont ses suggestions sont accueillies depuis qu'il est venu sur le forum qui l'a amené à concevoir un certain dépit. Je crois d'ailleurs que tu l'as compris, vu que tu as pris sa demande en considération. Que tu aies trouvé la solution est encore autre chose. :|

Partager ce message


Lien à poster
Partager sur d’autres sites
cybertaf    146
Il y a 2 heures, PeterRabbit a dit :

Ce n'est pas tant le délai dans la solution que la façon dont ses suggestions sont accueillies depuis qu'il est venu sur le forum qui l'a amené à concevoir un certain dépit.

Et j'en suis bien désolé qu'il en ait pris ombrage, ce n'était pas le but. Son info était correcte même si le bug semblait peu probable et elle aurait dû être prise en compte initialement.

J'en reviens à la solution que tu avais évoquée concernant la proportion des images dans l'éditeur, peux-tu indiquer comment tu as procédé pour obtenir le résultat en copie d'écran.

Partager ce message


Lien à poster
Partager sur d’autres sites
PeterRabbit    383
Le 03/01/2019 à 20:00, cybertaf a dit :

Et j'en suis bien désolé qu'il en ait pris ombrage, ce n'était pas le but. Son info était correcte même si le bug semblait peu probable et elle aurait dû être prise en compte initialement.

 

Merci pour lui, en espérant que ça le fasse revenir : le point de vue de @creatifmen était précieux, comme son respect des gens. o.O

 

Le 03/01/2019 à 20:00, cybertaf a dit :

J'en reviens à la solution que tu avais évoquée concernant la proportion des images dans l'éditeur, peux-tu indiquer comment tu as procédé pour obtenir le résultat en copie d'écran.

 

Le 01/01/2019 à 22:03, cybertaf a dit :

[...] éditeur interne ?

 

Certes, le plus naturel est de préparer les images sur son ordi comme tu le préconises, mais c'est en effet possible : avec l'éditeur de Responsive Filemanager, par exemple — à condition de travailler sur une copie de l'image d'origine : 

  • Clic droit > Editer l'image > Dupliquer
  • Clic droit > Editer l'image > Redimensionner

redimensionner.jpg.58ed2e282ccf546b859ee35c4482d5de.jpg

 

On peut aussi utiliser l’éditeur de TinyMCE — mais pour un usage exceptionnel, vu qu'il enregistre l'image retouchée en "blob", ce qui plombe le fichier de données d'une quarantaine de Ko.

 

Mais non, il s'agit d'une solution css que j'ai trouvée sur Stack Overflow (Fancier Solution) et ailleurs. Elle permet de concilier préservation du ratio et responsivité :

 

aspectratio2.jpg.584b4ed9424ad471c4b7c6c20b0c1a97.jpg

 

On met la balise <img> dans un conteneur qui s'adapte au ratio qu'on a préalablement défini en le calculant ou en utilisant ce calculateur en ligne  — j'ai déplacé le "padding" dans l'html pour une utilisation multiple...

<div class="aspectratio" style="padding: 15.63% 0 0 0;"><img src="/site/file/source/galerie/landscape/iceberg.jpg" alt="" width="640" height="100" /></div>

 

... et on ajoute quelques lignes — qu'on peut sans doute nettoyer — à "core/layout/common.css" (ou dans le css perso).

/* Image */
.aspectratio {
  display: block;
  max-width: 100%;
  height: auto;
  position: relative;
  overflow: hidden;
  /*padding: 15.38% 0 0 0;*/
}
.aspectratio img {
  display: block;
  max-width: 100%;
  max-height: 100%;
  position: absolute;
  top: 0;
  bottom: 0;
  left: 0;
  right: 0;
}
img {
	max-width: 100%;
	height: auto;
}

 

Les sachants sérieux et les rabat-joies objecteront sans doute que ce n'est pas très bon pour le poids : une image de 1920 x 1080 et de 204 Ko pour la réduire à 640 x 100 !

C'était pour le plaisir. :mrgreen:

Modifié par PeterRabbit

Partager ce message


Lien à poster
Partager sur d’autres sites
Rémi    154
Le 31/12/2018 à 12:01, creatifmen a dit :


@cybertaf @PeterRabbit @pwepwe973 @EBS01

coucou tout le monde..
je viens de voir qu' il vas y avoir une version 9 trop cool
merci d avance a tous les développeurs de zwii qui se donne de la peine.

pour la version 8.5xx & la futur 9 serait cool de réglée peux être certain problème de sécurité.
(comme je ni connais po grand choses il faudrait une personne qui confirme mes écrits..)

1.
problème de sécurité faille csrf
exemple effacer la page enfant de zwii
si vous êtes connectés a votre site ex: http:/votresite.fr

si une personne mal intentionné envoie un lien comme celui ci-dessous  ,ou camoufle le liens dans un fichier url ,ou crée un bouton a cliqué,ou cree un plugin avec un bout de code malicieux..
http:/votresite.fr/?page/delete/enfant
si  vous cliqué dessus la page enfant  s'effacera...

quand  l'ont efface une page ça ne devrait pas afficher ça
http:/votresite.fr/?page/delete/enfant

mais plutôt ressembler a  ça non?
http:/votresite.fr/?page/delete/enfant &jeton=b6cf20590a57f4685c9bdc6c53d12ff8


2.
problème de sécurité faille json ( hacker le 1er compte user)
dans le fichier json
en suppriment le 1er utilisateur et le password ont peut  rentrée en mode administrateur.
ex    "user":{"q"            "password":"$2y$10$4Ky6LAtSPc8o6........"      
par
ex    "user":{""            "password":""

bon il faut encore pouvoir envoyer un bout de code genre str_replace   ...$modif = json_decode(file_get_contents....  

Voila après 20minutes je viens de crée la routine en php  qui pourrais ce glisser dans n'importe quelle plugin véroler (mais pas de soucis la routine  je la garde pour moi).
c'est  juste pour le fun.
si moi j y arrive qui ne maitrise rien c'est grave..

hackok.png.a8c25540234006a98f7ea759d4593ba4.png
impossible de ce déconnecter il reste connecter en permanence

hack00.thumb.png.47ad205c2335e33a6f75ee9faba3b691.png

voila a++

3.

rien a  voir avec la sécurité

(ne pas conserver les proportions de l'image)
régler le problème de proportion d'image (ne pas conserver les proportions de l'image)
 ne fonctionne toujours pas..
pro.png.a5632de5d94493fa21f9e351618cd420.png
voila..
Je vous souhaite un bon réveillon à tous ,et une  bonne année 2019
spécial merci a PeterRabbit  qui se donnent beaucoup de peine a répondre avec pédagogie à toutes nos questions.

a+

 

Merci @creatifmen pour les retours ! Très étrange ton premier bug, j'avais pourtant ajouté une sécurité csrf dans la version 8 pour bloquer ce hack !

J'irais jeter un oeil quand j'aurais un peu de temps ;) .

Partager ce message


Lien à poster
Partager sur d’autres sites
cybertaf    146
il y a une heure, Rémi a dit :

 

Merci @creatifmen pour les retours ! Très étrange ton premier bug, j'avais pourtant ajouté une sécurité csrf dans la version 8 pour bloquer ce hack !

J'irais jeter un oeil quand j'aurais un peu de temps ;) .

Hello Remi,
Ce hack s'effectue grâce aux boutons qui ne passent pas le submit, donc pas de transfert de la donnée de contrôle dans le $_POST.

On peut la faire passer par un $_GET, mais j'ai choisi de la passer dans l'URL comme un dossier et uniquement pour les boutons concernés pour ne pas alourdir l'URL.

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant