|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
Audiofeeline
WRInaute accro
Inscrit le: 20 Oct 2005
Messages: 4360
Localisation: Buzz Inside
|
 Posté le : Ven Aoû 17, 2007 3:03 Sujet du message: /!\ Admins Categorizator /!\ |
|
|
Bonjour à tous,
Un petit message à tous ceux qui ont un annuaire Categorizator.
L'administration fonctionne avec des sessions, c'est à dire qu'en gros on vous donne une clé crypté en md5 (il me semble) qui permet d'avoir accès aux options.
Le truc c'est qu'il faut faire attention quand vous validez une url car si vous cliquez sur le lien pointant vers un site dans l'admin, le référent pour ce site sera l'adresse avec votre id de session, ce qui signifie que si on regarde les référents ont trouve ce fameux lien et on peut donc controler l'administration de l'annuaire...
On l'a répété assez souvent mais quand vous avez fini avec l'admin déconnectez-vous !
Ensuite évitez de cliquez sur les liens depuis l'admin (ou alors faudra une solution)...
Je post ce message car aujourd'hui encore j'ai 4 ou 5 annuaires référents où j'ai pu aller dans l'admin. Bon j'ai rien cassé mais si j'avais été vache j'aurai pu tout supprimer ! 
Si quelqu'un à une soluce à ça qu'il n'hésite pas à poster ici.
Je pense qu'il était bon de rafraichir la mémoire des gentils admins d'annuaires...  |
|
| |
|
 |
bed
Nouveau WRInaute
Inscrit le: 05 Avr 2005
Messages: 27
|
|
| |
|
|
keroin
WRInaute accro
Inscrit le: 29 Avr 2006
Messages: 2063
|
| Posté le : Ven Aoû 17, 2007 4:45 Sujet du message: /!\ Admins Categorizator /!\ |
|
|
+1 j'ai un htpasswrd en plus du code d'accès simple de categorizator sur mon dossier d'admin et rien ne peut passer  |
|
| |
|
|
Audiofeeline
WRInaute accro
Inscrit le: 20 Oct 2005
Messages: 4360
Localisation: Buzz Inside
|
| Posté le : Ven Aoû 17, 2007 4:57 Sujet du message: /!\ Admins Categorizator /!\ |
|
|
Bon j'ai fouiné un peu et il y a une petite technique qui permet de de faire une redirection vers les sites.
On fait un redirect.php et on passe l'adresse dans l'url par exemple :
-http://example.com/redirect.php?url=http://unsitesuper.com/
Il faut modifier l'admin où les liens apparaissent de cette façon le référent est http://example.com/redirect.php?url=http://unsitesuper.com/ et plus le lien admin avec l'ID de la session...
C'est du bricolage mais ça fonctionne semble-t-il... |
|
| |
|
|
bertimus
WRInaute accro
Inscrit le: 24 Aoû 2005
Messages: 1983
Localisation: Sud 35 | Breizh
|
| Posté le : Ven Aoû 17, 2007 5:00 Sujet du message: /!\ Admins Categorizator /!\ |
|
|
En complément de ton annonce audiofeeline, description du pproblème posé + solutions envisagées : http://www.seoblackout.com/2007/06/17/prendre-controle-annuaire/
| Citation: |
Comment se prémunir contre ce type d’attaque ?
[...]
Soit passer par une page intermédiaire ne contenant plus l’id de session dans l’url, lorsque que l’on souhaite visiter les sites à valider (facile à mettre en place).
Soit utiliser un navigateur comme Firefox et désactiver l’envoi du referer.
|
|
|
| |
|
|
keroin
WRInaute accro
Inscrit le: 29 Avr 2006
Messages: 2063
|
| Posté le : Ven Aoû 17, 2007 5:04 Sujet du message: /!\ Admins Categorizator /!\ |
|
|
| Citation: |
| Soit utiliser un navigateur comme Firefox et désactiver l’envoi du referer. |
M'intéresse ça mais un peu trop fatigué pour fouiller, tu sais comment on désactive le referer sous FF ? |
|
| |
|
|
bertimus
WRInaute accro
Inscrit le: 24 Aoû 2005
Messages: 1983
Localisation: Sud 35 | Breizh
|
|
| |
|
|
Audiofeeline
WRInaute accro
Inscrit le: 20 Oct 2005
Messages: 4360
Localisation: Buzz Inside
|
| Posté le : Ven Aoû 17, 2007 5:11 Sujet du message: /!\ Admins Categorizator /!\ |
|
|
| bertimus a écrit: |
Hum ben c'est pas la meilleure solution pour un webmaster...
| Citation: |
| Puisque le referer n’est pas tracé, les programmes d’affiliation peuvent ne pas enregistrer correctement une transaction |
|
:/ Pas glop ! |
|
| |
|
|
keroin
WRInaute accro
Inscrit le: 29 Avr 2006
Messages: 2063
|
| Posté le : Ven Aoû 17, 2007 5:13 Sujet du message: /!\ Admins Categorizator /!\ |
|
|
Bon bah autant faire un petit htaccess comme ça on est tranquille^^
Merci pour le lien quand même Bertimus |
|
| |
|
|
bertimus
WRInaute accro
Inscrit le: 24 Aoû 2005
Messages: 1983
Localisation: Sud 35 | Breizh
|
| Posté le : Ven Aoû 17, 2007 5:15 Sujet du message: /!\ Admins Categorizator /!\ |
|
|
| Audiofeeline a écrit: |
Si justement.  |
Il m'arrive d'enregistrer des commandes par téléphone pour une poignée de mes visiteurs, donc non non, hors de question que je fasse ça  |
|
| |
|
|
Audiofeeline
WRInaute accro
Inscrit le: 20 Oct 2005
Messages: 4360
Localisation: Buzz Inside
|
| Posté le : Ven Aoû 17, 2007 5:16 Sujet du message: /!\ Admins Categorizator /!\ |
|
|
| keroin a écrit: |
Bon bah autant faire un petit htaccess comme ça on est tranquille^^
Merci pour le lien quand même Bertimus |
L'idée de la page de redirection est plus souple, ça évite d'avoir à taper deux fois un mot de passe.
Notez aussi qu'il est bon de changer le nom du dossier d'admin... |
|
| |
|
|
| |
|
|
