Artiphp - CMS open source et gratuit
Vous êtes ici » Accueil/Forum
Saisissez votre recherche
RechercherRechercher   Liste des MembresListe des Membres   S'enregistrerS'enregistrer    ProfilProfil 
Se connecter pour vérifier ses messages privésSe connecter pour vérifier ses messages privés   ConnexionConnexion 


Problèmes de sécurité dans news/index.php

 
Poster un nouveau sujet   Répondre au sujet    Artiloo.com Index du Forum -> Artiphp 4 XXL : installation, templates...
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
jimro



Inscrit le: 07 Oct 2004
Messages: 6918

MessagePosté le: Ven 24 Oct 2008 17:11    Sujet du message: Problèmes de sécurité dans news/index.php Répondre en citant

Bonjour,

Pour faire suite à ce sujet http://www.artiloo.com/phpBB2/viewtopic.php?t=8891 ouvert par ed, j'ai vérifié aussi news/index.php dans Artiphp 4.
Apparemment, sauf si le captcha anti-spam est activé, un utilisateur anonyme malveillant pourrait poster même si les commentaires sont interdits à tous.
Pour corriger le souci, il faudrait compléter la condition ainsi vers la ligne 176 :
Code:
// ajout de commentaire
if ($_POST['add'] && ($autorisation->modoption == '1' or $autorisation->modoption == '2')) {


Il existe une autre faille potentielle dans news/index.php, vers la ligne 144 :
REMPLACER
Code:
    if ($_GET['del']) { // suppression
        $id_comment = $_GET['id_comment'];
        $id_news = $_GET['id_news'];
        if ($SESSION_STATUT == "artadmin"){

PAR
Code:
    if ($_GET['del']) { // suppression
        $id_comment = intval($_GET['id_comment']);
        $id_news = intval($_GET['id_news']);
        if ($SESSION_STATUT == "artadmin") {

Là c'est uniquement le statut 'artadmin', en principe donné à des personnes de confiance, qui permet d'éviter qu'un utilisateur malveillant supprime la totalité des commentaires.


jimro
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
ed



Inscrit le: 10 Mai 2004
Messages: 362
Localisation: Nord (F)

MessagePosté le: Sam 25 Oct 2008 6:46    Sujet du message: heureusement qu'il y a jimro!!! Répondre en citant

bonjour,

pour en finir ( j'espère?) avec mes spams, c'est donc un mal pour un bien!
encore merci à jimro ( )de rendre artiphp encore plus sûr et performant!

... je me demande aussi ( peut-être pour la V5) s'il ne faudrait pas pouvoir identifier un spammeur et pouvoir le bloquer par son ip, ou par la façon dont il spamme...etc

voilà , j'ai corrigé (les yeux "fermés", because c'est jimro!)
...on ne sait jamais...
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur MSN Messenger
jimro



Inscrit le: 07 Oct 2004
Messages: 6918

MessagePosté le: Sam 25 Oct 2008 12:53    Sujet du message: Re: heureusement qu'il y a jimro!!! Répondre en citant

ed a écrit:
voilà , j'ai corrigé (les yeux "fermés", because c'est jimro!)

Erreur, il faut toujours vérifier, car comme tout le monde, je peux me tromper


jimro
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    Artiloo.com Index du Forum -> Artiphp 4 XXL : installation, templates... Toutes les heures sont au format GMT + 1 Heure
Page 1 sur 1

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum


Powered by phpBB © 2001, 2005 phpBB Group
Traduction par : phpBB-fr.com