[Découverte d'un bug de sécurité sur CCM]
Résolu/Fermé
denis.tocqueville
Messages postés
2
Date d'inscription
jeudi 19 avril 2001
Statut
Membre
Dernière intervention
29 août 2006
-
29 août 2006 à 04:00
blux Messages postés 26507 Date d'inscription dimanche 26 août 2001 Statut Modérateur Dernière intervention 4 décembre 2024 - 30 août 2006 à 14:11
blux Messages postés 26507 Date d'inscription dimanche 26 août 2001 Statut Modérateur Dernière intervention 4 décembre 2024 - 30 août 2006 à 14:11
A voir également:
- [Découverte d'un bug de sécurité sur CCM]
- Bug yahoo mail - Accueil - Mail
- Ccleaner ccm - Télécharger - Nettoyage
- Mode securite - Guide
- Ccm - Accueil - Windows
- Iptv bug forum ✓ - Forum Box et Streaming vidéo
6 réponses
fou2dodie
Messages postés
605
Date d'inscription
mercredi 6 juin 2001
Statut
Membre
Dernière intervention
29 août 2006
33
29 août 2006 à 09:38
29 août 2006 à 09:38
Oui il semblerait que nous soyons nombreux à avoir reçu ce message mais je ne pense pas que nous craignons quelque chose du moins de la part de cet interlocuteur, sinon il ne se serait pas donné la peine de nous prévenir ainsi.
Jean-François Pillou
Messages postés
18301
Date d'inscription
lundi 15 février 1999
Statut
Webmaster
Dernière intervention
16 février 2023
63 274
29 août 2006 à 11:15
29 août 2006 à 11:15
Bonjour,
Effectivement un individu à réussi à se connecter à la page d'envoi de la newsletter, qui est normalement protégée par un mécanisme de contrôle d'accès (htaccess). Cette personne a trouvé l'adresse en essayant au hasard.
Il faut savoir que le site CommentCaMarche fonctionne sur plusieurs serveurs web derrière un répartiteur de charge. La ligne protégeant l'accès à ce répertoire était malheureusement absente dans le fichier de configuration d'un de ces serveurs.
Pour le retrouver, il m'a suffit de chercher dans les journaux d'activité des serveurs toutes les adresses IP s'étant connecté sur cette page. Il y a eu deux IP à se connecter à cette page hier, dont une sur ce serveur, et je peux voir que la page a été appelée car le serveur a également chargé les images pour cette page.
Il m'a donc suffit de reprendre cette adresse IP et de refaire son parcours sur les pages du site pour trouver la porte d'entrée :-)
Je rassure tout le monde, cette personne n'a eu accès à aucun code, ni à aucun fichier du serveur.
Le message étant plutôt sympatique et étant donné que je suis plutôt bon joueur, je m'abstiendrais de porter plainte auprès de Wanadoo ! Ami utilisateur de Wanadoo au Plessis-Bouchard si tu me lis, la prochaine fois envoie plutôt un mail à l'administrateur plutôt que d'envoyer un courrier électronique à tous les abonnés.
Effectivement un individu à réussi à se connecter à la page d'envoi de la newsletter, qui est normalement protégée par un mécanisme de contrôle d'accès (htaccess). Cette personne a trouvé l'adresse en essayant au hasard.
Il faut savoir que le site CommentCaMarche fonctionne sur plusieurs serveurs web derrière un répartiteur de charge. La ligne protégeant l'accès à ce répertoire était malheureusement absente dans le fichier de configuration d'un de ces serveurs.
Pour le retrouver, il m'a suffit de chercher dans les journaux d'activité des serveurs toutes les adresses IP s'étant connecté sur cette page. Il y a eu deux IP à se connecter à cette page hier, dont une sur ce serveur, et je peux voir que la page a été appelée car le serveur a également chargé les images pour cette page.
Il m'a donc suffit de reprendre cette adresse IP et de refaire son parcours sur les pages du site pour trouver la porte d'entrée :-)
Je rassure tout le monde, cette personne n'a eu accès à aucun code, ni à aucun fichier du serveur.
Le message étant plutôt sympatique et étant donné que je suis plutôt bon joueur, je m'abstiendrais de porter plainte auprès de Wanadoo ! Ami utilisateur de Wanadoo au Plessis-Bouchard si tu me lis, la prochaine fois envoie plutôt un mail à l'administrateur plutôt que d'envoyer un courrier électronique à tous les abonnés.
tlep
Messages postés
596
Date d'inscription
jeudi 21 février 2002
Statut
Membre
Dernière intervention
25 octobre 2012
118
29 août 2006 à 18:17
29 août 2006 à 18:17
Vous devriez peut-être exécuter un script en crontab pour vous assurer de la bonne redondance des fichiers sur les serveurs derrière le répartiteur de charge ?
Thierry
Thierry
...A titre d'information, si vous découvrez des failles sur des sites web, il est préférable d'en avertir l'administrateur au risque sinon d'être poursuivi en justice...
Le risque d'être poursuivi n'étant bien sur valable que dans le cas où la faille détectée serait utilisée à des fins destructrices, provocatrices ou de quelconque façon préjudiciable au dit site...
Il me semblait important d'apporter cette précision !
Thierry, de Lyon...
blux
Messages postés
26507
Date d'inscription
dimanche 26 août 2001
Statut
Modérateur
Dernière intervention
4 décembre 2024
3 317
30 août 2006 à 14:11
30 août 2006 à 14:11
Le risque d'être poursuivi n'étant bien sur valable que dans le cas où la faille détectée serait utilisée à des fins destructrices, provocatrices ou de quelconque façon préjudiciable au dit site...
Pas du tout, la loi (dite loi godfrain) parle de l'accès et du maintien dans un système, même si on y fait rien !
"Article 462-2
Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d'un système de traitement automatisé de données sera puni d'un emprisonnement de deux mois à un an et d'une amende de 2.000F à 50.000F ou de l'une de ces deux peines. Lorsqu'il en sera résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, l'emprisonnement sera de deux mois à deux ans et l'amende de 10.000F à 100.000F."
Pas du tout, la loi (dite loi godfrain) parle de l'accès et du maintien dans un système, même si on y fait rien !
"Article 462-2
Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d'un système de traitement automatisé de données sera puni d'un emprisonnement de deux mois à un an et d'une amende de 2.000F à 50.000F ou de l'une de ces deux peines. Lorsqu'il en sera résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, l'emprisonnement sera de deux mois à deux ans et l'amende de 10.000F à 100.000F."
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
lechti64
Messages postés
12
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
5 août 2010
2
29 août 2006 à 20:28
29 août 2006 à 20:28
Salut Jeff et bonjour à tous
je suis depuis pas mal de temps fidele à CCM et j'adore explorer les sites webs sans pour autant vouloir y faire des "choses"crades et illégales.Pour moi il s'agi là simplement d'étudier la structure de ces sites pour en tirer une connaissance en matiére de construction de site.Par contre je réprouve le fait de se servir d'un quelconque serveur pour pirater les adresses mail de celui ci et s'en servir dans un but mal intentionné...
Par contre ,je suppose que ce "HACKER" ,trés sympa au demeurant, a voulu tout symplement tester ses propres connaissances , soit pour s'amuser ou pour réellement tester la sécurité des serveurs de CCM et en faire partager sa découverte.Je dis celà car il est trés facile de cacher son adresse ip ainsi que toutes traces que vous pouriez laisser lors de tels "exploits", de nombreux sites consacrés au "Hacking"ou "Priratage en bon français"vous expliquant en long et en large toutes les méthodes possibles et imaginables!!!!
Quoi qu'il en soit je n'ai pour ma part pas reçus ce fameux mail et je suis tout a fait d'accord avec la clémende dont CCM a fait preuve à l'égard de cet indélicat internaute.
Si ,comme moi ,vous trouviez par hazard une faille ou un bug quel qu'ils soient sur un site,vous y gagnez à prévenir l'administrateur ,car celui ci peut vous demander votre collaboration pour combler cette fille ou méme vous faire parvenir des "trucs" à tester en tant que collaborateur ou beta testeur.
NE BRISEZ PAS LE FRUIT DU TRAVAIL DES AUTRES & LA SOIF DE CONNAITRE ET D'APPRECIER DE L'INTERNAUTE LAMBDA
lechti64
je suis depuis pas mal de temps fidele à CCM et j'adore explorer les sites webs sans pour autant vouloir y faire des "choses"crades et illégales.Pour moi il s'agi là simplement d'étudier la structure de ces sites pour en tirer une connaissance en matiére de construction de site.Par contre je réprouve le fait de se servir d'un quelconque serveur pour pirater les adresses mail de celui ci et s'en servir dans un but mal intentionné...
Par contre ,je suppose que ce "HACKER" ,trés sympa au demeurant, a voulu tout symplement tester ses propres connaissances , soit pour s'amuser ou pour réellement tester la sécurité des serveurs de CCM et en faire partager sa découverte.Je dis celà car il est trés facile de cacher son adresse ip ainsi que toutes traces que vous pouriez laisser lors de tels "exploits", de nombreux sites consacrés au "Hacking"ou "Priratage en bon français"vous expliquant en long et en large toutes les méthodes possibles et imaginables!!!!
Quoi qu'il en soit je n'ai pour ma part pas reçus ce fameux mail et je suis tout a fait d'accord avec la clémende dont CCM a fait preuve à l'égard de cet indélicat internaute.
Si ,comme moi ,vous trouviez par hazard une faille ou un bug quel qu'ils soient sur un site,vous y gagnez à prévenir l'administrateur ,car celui ci peut vous demander votre collaboration pour combler cette fille ou méme vous faire parvenir des "trucs" à tester en tant que collaborateur ou beta testeur.
NE BRISEZ PAS LE FRUIT DU TRAVAIL DES AUTRES & LA SOIF DE CONNAITRE ET D'APPRECIER DE L'INTERNAUTE LAMBDA
lechti64
Hamster
Messages postés
6709
Date d'inscription
jeudi 16 juin 2005
Statut
Contributeur
Dernière intervention
2 décembre 2019
979
30 août 2006 à 07:03
30 août 2006 à 07:03
celui ci peut vous demander votre collaboration pour combler cette fille
MOUARF !
Désolé...
OK, je sors --------> [CLAP !]
MOUARF !
Désolé...
OK, je sors --------> [CLAP !]
phunk
Messages postés
498
Date d'inscription
lundi 31 juillet 2006
Statut
Membre
Dernière intervention
30 novembre 2006
193
>
Hamster
Messages postés
6709
Date d'inscription
jeudi 16 juin 2005
Statut
Contributeur
Dernière intervention
2 décembre 2019
30 août 2006 à 10:32
30 août 2006 à 10:32
PTDR !! Arrête je me marre comme un con au bureau maintenant...
il m'est deja arriver de trouver une faille du genre sur un site internet
www.e.creditlyonnais.fr
etant relativement honnete je n'en ai pas profiter
a vrai dire je ne sais meme pas si j'aurai su l'expliter :p
mais bref, j'ai envoyer un mail au webmaster du site en question et ben meme pas un merci, la faille a eter corriger mais ils ne s'en sont pas vanter lol... tout les site ne sont pas comme CCM
jai quand meme garder un piti sreen du rep racine de leur site hehe... pour la posteriter :D
je sais pas si je peux le poster sur ce site (enfin je trouve pas la marche a suivre pour joindre n fichier :p)
voila c'était histoire de participer
www.e.creditlyonnais.fr
etant relativement honnete je n'en ai pas profiter
a vrai dire je ne sais meme pas si j'aurai su l'expliter :p
mais bref, j'ai envoyer un mail au webmaster du site en question et ben meme pas un merci, la faille a eter corriger mais ils ne s'en sont pas vanter lol... tout les site ne sont pas comme CCM
jai quand meme garder un piti sreen du rep racine de leur site hehe... pour la posteriter :D
je sais pas si je peux le poster sur ce site (enfin je trouve pas la marche a suivre pour joindre n fichier :p)
voila c'était histoire de participer
