sécurité freeglobe

[polweb]

Bonjour,

je viens de tomber sur un article au sujet d'une faille de sécurité freeglobe :

http://themes-du.net/2007/07/26/faille- ... s/#more-55

Et bien il y a un tas de sites qui ont du boulot :lol:

Est ce quelqu'un a des infos sur le type de faille de sécurité qui était exploité ?

Merci.

 

[ami]

Elle se situe au niveau des keywords (recherches enregistrées) et permet à une personne malintentionnée d’executer du code javascript sur votre machine. Ce genre de code récupère en général le contenu de vos cookies.

Les cookies Freeglobes ne contiennent que des données cryptées, donc la personne ne pourra pas deviner votre mot de passe admin par exemple. Cependant, elle peut recréer le même cookie sur sa machine et se connecter à votre place dans l’administration.

Une MAJ a tout de suite été publié pour pallier au problème .

 

[polweb]

Ok, merci.

 

[Leonick]

Cependant, elle peut recréer le même cookie sur sa machine et se connecter à votre place dans l’administration.

rien de tel qu'une admin protégée par htaccess :wink:

 

[forummp3]

Bonjour,

je viens de tomber sur un article au sujet d'une faille de sécurité freeglobe :

http://themes-du.net/2007/07/26/faille- ... s/#more-55

Et bien il y a un tas de sites qui ont du boulot :lol:

Est ce quelqu'un a des infos sur le type de faille de sécurité qui était exploité ?

Merci.

cette type de faille c'est du XSS.

un petit coup de htmlentities ou de htmlspecialchars et plus de faille. cependant faut penser a proteger toutes les variables.

 

[polweb]

Hum, merci des infos cela peut servir pour améliorer la sécurité.