Monitor Forum | Start New Thread Start New Thread
RE: Multiples vulnérabilités XSS dans l'interface des administrateurs [ Reply ]
By: Richard REY (Rexy) on 2015-07-16 19:17
[forum:483248]
Bonjour,

Nous sommes tout à fait d'accord avec vous. Et nous n'avons pas, depuis le début du projet, intégré les principes élémentaires de sécurisation des formulaires PHP sur les pages dédiées aux administrateurs. Les pages présentées aux utilisateurs ont fait l'objet d'un peu plus d'attention.
Comme nous avons commencé le travail de la nouvelle interface d'admin (suppression des fonctions inutiles, "jquery" pour un peu plus d'interactivité, "ajax", requêtes SQL préparées, bascule vers les fonctions "mysqli", etc), nous n'avons pas jugé nécessaire de dépenser le peu de temps que nous avons au traitement de l'interface "historique".
En effet, nous considérons que l'admin sait ce qu'il fait. Là encore vous avez raison, il ne faudrait pas partir de ce principe...
Vous pouvez voir qu'une partie de l'interface hérite du framework du projet "freeradius-web" dont la majorité des fonctions sont (ou vont être) dépréciées. Activez le mode "display_error on" du fichier "php.ini" pour voir l'ampleur de la tâche.
Bref, on y travaille pour la version 3.
+1 pour notre compteur à bière (il faudra un jour qu'on honore nos dettes ;-) )

Multiples vulnérabilités XSS dans l'interface des administrateurs [ Reply ]
By: Loic FR on 2015-07-16 16:09
[forum:483247]

Capture.png (50) downloads
Bonjour,

La plupart des formulaires d'Alcasar comportent des vulnérabilités XSS réfléchi voir même stocké.
Exemple en entrant le code suivant dans les différents formulaires:
img src=x onerror=alert(0)

Par la même occasion l'ajout du XSS dans le formulaire des exceptions des noms de domaine Internet de confiance à pour conséquence de faire tomber le service coova-chilli en modifiant la structure du fichier /usr/local/etc/alcasar-uamdomain...

Certes, il faut certainement avoir un compte administrateur ou manager pour lancer la plupart des attaques XSS mais dans tout les cas, il faut se méfier des entrées utilisateurs en utilisant la fonction htmlentities() de php. Car en cas de faille au niveau de l'authentification ou même simplement une mauvaise manipulation par un compte manager peut avoir pour conséquence la détérioration des fichiers de configurations ou la corruption base de donnée SQL.

Cordialement,

PS: Le compteur à bière est toujours ouvert? ;)

FEDER Powered By FusionForge Collaborative Development Environment Charte d'utilisation / Nous contacter / Mentions légales Haut de page