Merci de modifier vos mots de passe
jeudi 9 juillet 2015 à 23:29Shaarlo 09/07/2015
Bonsoir,
bon j'ai fait une bêtise (merci à tsyr2ko !), la connexion avec le mot de passe passait jusqu'à ce soir par un GET, en gros vos mots de passe sont du même coup malheureusement en clair dans les logs d'apache2...
donc bon...c'est pas ultra drôle mais je vous conseille de le modifier dès que possible dans votre compte et surtout si jamais vous utilisez le même ailleurs, de le modifier également.
Ces logs ne sont "normalement" accessibles que par OVH et moi.
Voilà...désolé vraiment pour cette erreur grotesque :(...
n'hésitez pas si certains parmi vous sont plutôt doués en sécurité de jeter un oeil au code github actuellement disponible.
Merci encore à tsyr2ko.
(Permalink)
bon j'ai fait une bêtise (merci à tsyr2ko !), la connexion avec le mot de passe passait jusqu'à ce soir par un GET, en gros vos mots de passe sont du même coup malheureusement en clair dans les logs d'apache2...
donc bon...c'est pas ultra drôle mais je vous conseille de le modifier dès que possible dans votre compte et surtout si jamais vous utilisez le même ailleurs, de le modifier également.
Ces logs ne sont "normalement" accessibles que par OVH et moi.
Voilà...désolé vraiment pour cette erreur grotesque :(...
n'hésitez pas si certains parmi vous sont plutôt doués en sécurité de jeter un oeil au code github actuellement disponible.
Merci encore à tsyr2ko.
(Permalink)
Les tout petits liens de Zouzou > Shaarlo 09/07/2015
Quels mots de passes shaarlo ? Ceux des shaarlis hébergés sur shaarli.fr ? D'autres ?
(Permalink)
(Permalink)
Links from tsyr2ko's wandering > Shaarlo 10/07/2015
On va commencer par le B.A.BA de la sécurité hein :)
https://www.ssllabs.com/ssltest/analyze.html?d=shaarli.fr&hideResults=on
On s'occupera du code review plus tard :)
(Permalink)
https://www.ssllabs.com/ssltest/analyze.html?d=shaarli.fr&hideResults=on
On s'occupera du code review plus tard :)
(Permalink)
Partager de Alpha à Zeta et bien plus... > Shaarlo 10/07/2015
euh, bon ben je n'arrive pas à me connecter sur mon profil (espritboudha) , je suis bloqué sur la page du mot de passe,
(Permalink)
(Permalink)
Links from tsyr2ko's wandering > espritboudha 10/07/2015
Ca me l'a fait hier, essayes en vidant les cookies du site shaarli.fr
(Permalink)
(Permalink)
Shaarlo > Les tout petits liens de Zouzou 10/07/2015
Seulement les mots de passe de profil, ceux des shaarlis My sont différents et non en clair dans les logs.
(Permalink)
(Permalink)
KraZhtest - Liens utiles - C'est le bordel > Shaarlo 10/07/2015
Certes passer par un POST, c'est mieux aussi au niveau réseau local.
Sinon sur cette récente faille coté front http://user23.net/links/?ftHdgg , j'y avais pas publié ainsi (mais dans l'email ;) ) mais il y avait effectivement moyen d’exécuter du php dans l'url!
Basiquement, un vilain pirate (experimenté) aurait probablement pu glisser un malware quelque part, ouvrir des sockets, effacer le serveur, etc etc!
J'en suis resté au constat que <? ?> disparaissait, ce qui prouvait qu'il était exécuté!
Voilà voilà, changer de mot de passe shaarlo, bon, beaucoup de monde en avait mit un, si?
Sinon, toujours dans la suggestion, tout récemment la page d’accueil à changé: (créer un profil" "accés invité") (dashboard.php)
Du coup, le nouvel arrivant se demande un peu ou il est tombé. (Késako shaarli.fr??) Il faudrait un texte explicatif, c'est quoi shaarlo, c'est quoi shaarli et leurs inter-actions! Si en plus c'est open-source, un lien vers les sources :) :)
Sinon sur cette récente faille coté front http://user23.net/links/?ftHdgg , j'y avais pas publié ainsi (mais dans l'email ;) ) mais il y avait effectivement moyen d’exécuter du php dans l'url!
Basiquement, un vilain pirate (experimenté) aurait probablement pu glisser un malware quelque part, ouvrir des sockets, effacer le serveur, etc etc!
J'en suis resté au constat que <? ?> disparaissait, ce qui prouvait qu'il était exécuté!
Voilà voilà, changer de mot de passe shaarlo, bon, beaucoup de monde en avait mit un, si?
Sinon, toujours dans la suggestion, tout récemment la page d’accueil à changé: (créer un profil" "accés invité") (dashboard.php)
Du coup, le nouvel arrivant se demande un peu ou il est tombé. (Késako shaarli.fr??) Il faudrait un texte explicatif, c'est quoi shaarlo, c'est quoi shaarli et leurs inter-actions! Si en plus c'est open-source, un lien vers les sources :) :)
Shaarlo 10/07/2015
Je pense pas que le code php soit executé. Il n'y a aucun eval nul part.
Oui la page d'accueil mérite un petit brushing :-)
(Permalink)
Oui la page d'accueil mérite un petit brushing :-)
(Permalink)