question

lagrenouille · Janvier 15, 2021, 8:31

Bonjour à tous

je cherche à savoir si vous avez déjà eu des courriers de ce site, vous informant d'une vulnérabilité de votre site spip.

https://www.openbugbounty.org/report/

Vous pouvez me répondre aussi sur mon e-mail privé

merci à vous

--

amicalement:momo alias lagrenouille (^ö^)
auto-hébergement https://funambule.org
system : Linux_Debian - Unix_openbsd

Jean_Christophe_Vill · Janvier 15, 2021, 8:47

Non, jamais eu ça.

JC

Le 15/01/2021 à 09:31, momo a écrit :

Bonjour à tous

je cherche à savoir si vous avez déjà eu des courriers de ce site, vous informant d'une vulnérabilité de votre site spip.

https://www.openbugbounty.org/report/

Vous pouvez me répondre aussi sur mon e-mail privé

merci à vous

spipfactory · Janvier 15, 2021, 8:52

Bonjour,

Déjà rencontré sur le site de Francegenweb.org.

C’est un malware « bienveillant »…

Il avertit que si la faille de sécurité n’est pas bloquée d’ici qq jours, il pourrait intervenir…

Après qq modifs concernant la faille XSS, on est repassé en positif

lagrenouille · Janvier 18, 2021, 8:32

salut

@Sandy-Pascal Andriant

/"Après qq modifs concernant la faille XSS"/

Merci de ta réponse
tu pourrais m,e préciser comment tu as fait, éventuellement nous passer le codage, voir si on peut faire quelque chose pour ce site
avant de répondre ...
merci d'avance, momo

Le 15/01/2021 à 09:52, SpipFactory a écrit :

Bonjour,

Déjà rencontré sur le site de Francegenweb.org.

C'est un malware "bienveillant"...

Il avertit que si la faille de sécurité n'est pas bloquée d'ici qq jours, il pourrait intervenir...

Après qq modifs concernant la faille XSS, on est repassé en positif

https://fr.wikipedia.org/wiki/Cross-site_scripting

*Sandy*-Pascal Andriant
SpipFactory.fr <https://spipfactory.fr>

avatar Sandy

Le 15/01/2021 à 09:31, momo a écrit :

Bonjour à tous

je cherche à savoir si vous avez déjà eu des courriers de ce site, vous informant d'une vulnérabilité de votre site spip.

https://www.openbugbounty.org/report/

Vous pouvez me répondre aussi sur mon e-mail privé

merci à vous

_______________________________________________
Spip-avec-escal@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-avec-escal

--

amicalement:momo alias lagrenouille (^ö^)
auto-hébergement https://funambule.org
system : Linux_Debian - Unix_openbsd

spipfactory · Janvier 18, 2021, 9:05

Salut,

Il faut vérifier sur tous les formulaires que les caractères spéciaux seront systématiquement échappés en utilisant pour chaque variable $mot la fonction htmlspecialchar($mot)

de la sorte, par moyen d’introduire du code.

spipfactory · Janvier 18, 2021, 9:12

Hmmm

htmlspecialchars($mot)

ça se passe dans le fichier .html de chacun de tes formulaires.

lagrenouille · Janvier 18, 2021, 10:48

Merci à toi

Le 18/01/2021 à 10:12, SpipFactory a écrit :

Hmmm

htmlspecialchar*s*($mot)

ça se passe dans le fichier .html de chacun de tes formulaires.

*Sandy*-Pascal Andriant
SpipFactory.fr <https://spipfactory.fr>

avatar Sandy

Le 18/01/2021 à 10:05, SpipFactory a écrit :

Salut,

Il faut vérifier sur tous les formulaires que les caractères spéciaux seront systématiquement échappés en utilisant pour chaque variable $mot la fonction htmlspecialchar($mot)

de la sorte, par moyen d'introduire du code.

https://www.php.net/manual/fr/function.htmlspecialchars.php

*Sandy*-Pascal Andriant
SpipFactory.fr <https://spipfactory.fr>

avatar Sandy

Le 18/01/2021 à 09:32, momo a écrit :

salut

@Sandy-Pascal Andriant

/"Après qq modifs concernant la faille XSS"/

Merci de ta réponse
tu pourrais m,e préciser comment tu as fait, éventuellement nous passer le codage, voir si on peut faire quelque chose pour ce site
avant de répondre ...
merci d'avance, momo

Le 15/01/2021 à 09:52, SpipFactory a écrit :

Bonjour,

Déjà rencontré sur le site de Francegenweb.org.

C'est un malware "bienveillant"...

Il avertit que si la faille de sécurité n'est pas bloquée d'ici qq jours, il pourrait intervenir...

Après qq modifs concernant la faille XSS, on est repassé en positif

https://fr.wikipedia.org/wiki/Cross-site_scripting

*Sandy*-Pascal Andriant
SpipFactory.fr <https://spipfactory.fr>

avatar Sandy

Le 15/01/2021 à 09:31, momo a écrit :

Bonjour à tous

je cherche à savoir si vous avez déjà eu des courriers de ce site, vous informant d'une vulnérabilité de votre site spip.

https://www.openbugbounty.org/report/

Vous pouvez me répondre aussi sur mon e-mail privé

merci à vous

_______________________________________________
Spip-avec-escal@rezo.net -https://listes.rezo.net/mailman/listinfo/spip-avec-escal

--

amicalement:momo alias lagrenouille (^ö^)
auto-hébergement https://funambule.org
system : Linux_Debian - Unix_openbsd