Follow

[HELP] Y aurait par ici un gentil dev, fan de vélo (c'est un plus, mais pas obligatoire) pour aider une super plateforme de partage de photos de vélo, communautaire et tout, à se remettre à l'eau ?
www.saadl.com est une nouvelle fois tombée dans les choux et sans dev, on l'a dans le baba....
la famille !
C'est pas payé, quoique si tu files la main je te payes une bière si tes sur Marseille ...
On en parle en DM si jamais... je croise les doigts !!!

· · Web · 1 · 0 · 0

@fredftn
Comment ça tombé dans les choux ? Il y a besoin de faire quoi je comprends pas bien. J'ai pas encore eu à gérer d'hébergement pour l'instant mais c'est justement un projet en cours.

@livvydun alors le site plante et on pense aussi qu’une personne a réussit a injecter un truc pour faire du fishing. La le site est de nouveau en ligne.
Damien qui est a l’origine du truc a pu le restaurer mais on voudrait le sécuriser un peu et éviter que ça se reproduise de trop ... et si après tu te sens de rejoindre l’équipe pour dev des trucs dessus pour le fun... why not :)

@livvydun on avait ça comme erreur. Le soucis c’est que sorti de wordpress j’y pite rien

@fredftn
Il y a un problème de droit d'accès sur le dossier temp.
Mais pas sûr que ça ait un rapport avec le problème.

@livvydun Ha ! Mais comment t'es allé voir ça ? J'ai mis un .htccess basique déjà pour protéger l'affichage du dossier /public_html/files/
Mais bon, je comprends que dalle hahaha

@fredftn
C'est extrait de cette page fr.m.wikipedia.org/wiki/Chmod
Mais là il s'agit d'un problème d'accès pour toi-même, ou disons du serveur.

@fredftn
Avant de regarder l'image en-dessous ce que tu me décris ressemble fort à une faille XSS. Une des failles les plus connues en web mais du coup une des plus documentées (bonne nouvelle).
fr.m.wikipedia.org/wiki/Cross-
Il s'agit en fait d'insérer du code (souvent SQL ou JavaScript) dans un formulaire du site (page contact, espace commentaires...) pour qu'il s'exécute.

@fredftn
Après avec WordPress, que j'ai pas tellement pratiqué encore, je sais qu'il peut aussi y avoir des failles avec les extensions utilisées.

@livvydun Oui, voilà ! J'ai réussi à virer les dossiers de phishing et 4 fichiers php qui servaient à l'injection... en revanche, je ne sais pas si c'est suffisant.
Après, c'est pas du wordpress... c'est un bon site tout fait à la main !

@fredftn
Est-ce que tu sais à quel endroit le code a pu être injecté ?
Le site est donc en PHP de ce que j'ai vu, pour éviter du XSS il faut toujours manipuler les données venant de l'extérieur en lui appliquant une ou plusieurs transformation et jamais tel quel. Exemples en images.

nouvelle-techno.fr/actualites/

@livvydun ben en fait, tu peux uploader des photos sur le site et tu peux commenter les photos ou dans la partie "stories"... donc n'importe ou tu peux injecter du code dans le formulaire ;/

@fredftn
Du coup il faut manipuler ce qui est fourni par le client avec addslashes(), strip_tags(), htmlentities() et/ou htmlspecialchars() à toi de voir ce qui convient le mieux. Par contre pour les images j'ai rien en tête il va falloir chercher parce qu'il peut aussi y avoir du code malveillant dans les métas (il existe peut-être une fonction pour dropper les métas dès le départ).

@livvydun Ha ouais, merci. Après je vais voir comment on peut ajouter ce genre de règles... je sais pas ou mettre ça :😭

Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!