Allopass ou autre acces restreint, protégez tout vos fichiers...

Paul_Sanches · Août 4, 2004, 11:29

Salut à tous,

Je viens de recevoir un mail d'un webmaster à propos de la fiabilité du
système allopass utilisé avec SPIP, ce qui me décide à écrire ces quelques
lignes.

Cela fait plusieurs fois qu'en consultant des sites sous SPIP, je découvre 2
type de failles.
Ces failles ne sont pas dues à SPIP mais aux webmasters de ces sites.
Je m'explique :
1er cas : allopass et SPIP
2eme cas : ajout d'un script utilisant mysql dans une partie d'un site spip

1er cas :

allopass demande un code pour consulter un article SPIP et te renvoie
ensuite vers l'article désiré, jusque là pas de PB.
Mais la plupart du temps, les webmasters de spip veulent proposer à leur
membres une possibilité d'impression de leur article par exemple ou une mise
en forme au format pdf et là ils oublient de protéger ces pages donc il
suffit souvent pour pouvoir consulter un
article payant de mettre dans le navigateur l'adresse suivante :
http://www.monsiteweb.com/imprimer.php3?id_article=30 par exemple.
Bien évidemment, on récupère l'ID de l'article (ici 30) sur la page où l'on
demande le code allopass.

Et si le webmaster au lien de créer un fichier imprimer.php3,
crée un fichier au nom introuvable du type print144565@$_44866.php3 ?

Et bien là, il existe des logiciels capable de retrouver l'arborescence d'un
site et donc de retrouver ce fichier au nom complexe. Il faut donc aussi
mettre un allopass sur ces fichiers.

2ème cas : Là encore en me balladant sur un site SPIP, et bien sûr en
regardant des squelettes qui m'intéresse, j'ai trouvé cette autre faille ou
plutôt négligence des webmasters. je donne ici l'extrait d'un mail à un
webmaster :

" En me balladant par hasard sur votre site, j'ai trouvé 1 faille.
Il est possible de voir le login et mot de passe de la base mysql, lorsque
quelqu'un poste un événement dans l'agenda :
http://www.votresiteweb/new_agenda.php3

Il suffit, comme sur tout site fait avec spip, de chercher le fichier html
correspondant : http://www.votresiteweb/new_agenda.html
et là on voit, dans le code source de la page, les informations de connexion
à votre base mysql.

J'ai fait la même erreur sur l'un de mes sites, pour la corriger, il suffit
de faire un include en php d'un fichier php avec les infos de connexion dans
votre fichier new_agenda.html. "

Voilà, j'espère avoir été clair et que ça pourra aider.
J'ajoute que je ne suis pas un spécialiste de l'underground, juste un
utilisateur averti de SPIP qui aime fouiller dans les squelettes.

@+
Paul
paul@1formatik.com

Patate · Août 6, 2004, 8:21

Salut et merci pour ces précieux avertissements !
J'ajouterai le fait d'interdire les caches "moteurs" (ex: google).

Après recherche, je n'ai pas trouvé d'info sur l'implémentation d'Allopass
dans Spip (ça sent la contrib ;o).

Si je comprends bien, on place le script allopass dans le fichier html (ex:
article.html).

Une question cependant :
Comment avoir le même code d'accès allopass pour, par exemple, article.html
et article-imprim.html ?
Ba oui, on ne va quand même pas les faire payer 2 fois ;o)

merci

"Paul" <paul@1formatik.com> a écrit dans le message de
news:ceqhbp$lns$1@sea.gmane.org...

Salut à tous,

Je viens de recevoir un mail d'un webmaster à propos de la fiabilité du
système allopass utilisé avec SPIP, ce qui me décide à écrire ces quelques
lignes.

Cela fait plusieurs fois qu'en consultant des sites sous SPIP, je découvre

2

type de failles.
Ces failles ne sont pas dues à SPIP mais aux webmasters de ces sites.
Je m'explique :
1er cas : allopass et SPIP
2eme cas : ajout d'un script utilisant mysql dans une partie d'un site

spip

1er cas :

allopass demande un code pour consulter un article SPIP et te renvoie
ensuite vers l'article désiré, jusque là pas de PB.
Mais la plupart du temps, les webmasters de spip veulent proposer à leur
membres une possibilité d'impression de leur article par exemple ou une

mise

en forme au format pdf et là ils oublient de protéger ces pages donc il
suffit souvent pour pouvoir consulter un
article payant de mettre dans le navigateur l'adresse suivante :
http://www.monsiteweb.com/imprimer.php3?id_article=30 par exemple.
Bien évidemment, on récupère l'ID de l'article (ici 30) sur la page où

l'on

demande le code allopass.

Et si le webmaster au lien de créer un fichier imprimer.php3,
crée un fichier au nom introuvable du type print144565@$_44866.php3 ?

Et bien là, il existe des logiciels capable de retrouver l'arborescence

d'un

site et donc de retrouver ce fichier au nom complexe. Il faut donc aussi
mettre un allopass sur ces fichiers.

2ème cas : Là encore en me balladant sur un site SPIP, et bien sûr en
regardant des squelettes qui m'intéresse, j'ai trouvé cette autre faille

ou

plutôt négligence des webmasters. je donne ici l'extrait d'un mail à un
webmaster :

" En me balladant par hasard sur votre site, j'ai trouvé 1 faille.
Il est possible de voir le login et mot de passe de la base mysql, lorsque
quelqu'un poste un événement dans l'agenda :
http://www.votresiteweb/new_agenda.php3

Il suffit, comme sur tout site fait avec spip, de chercher le fichier html
correspondant : http://www.votresiteweb/new_agenda.html
et là on voit, dans le code source de la page, les informations de

connexion

à votre base mysql.

J'ai fait la même erreur sur l'un de mes sites, pour la corriger, il

suffit

de faire un include en php d'un fichier php avec les infos de connexion

dans

votre fichier new_agenda.html. "

Voilà, j'espère avoir été clair et que ça pourra aider.
J'ajoute que je ne suis pas un spécialiste de l'underground, juste un
utilisateur averti de SPIP qui aime fouiller dans les squelettes.

@+
Paul
paul@1formatik.com

----------------------------------------------------------------------------
----