Discussion :

[VeenZ]

Bonjour,

J'ai actuellement un très grand problème sur mon forum aidemu.net
Un utilisateur réussit à me bannir , changer son groupe , il utilise un exploit , une faille
J'ai changer mes ids de base de données , rien à faire , il se croit invincible !

C'est très embêtant il prend carrément le contrôle du forum il me menace par skype , me fait chanté si il veut il peut carrément tout delete

Besoin d'aide urgent svp pour la sécurité pour enlever cette faille , skype : veenz.prod , forum : http://aidemu.net/

[bhamp0]

http://community.invisionpower.com/t...curity-update/ ?
Tu es à jour sur la version d'IPB utilisée ?

[philou44300]

A une époque où je m'intéressais à la sécurité des sites internet car je devais en développer un, je m'étais renseigné su les failles. Après cela, j'avais trouvé une faille sql dans le forum de ma team sur un jeu. Le chef de la team, qui avait développé le site, ne me croyait pas et j'avais dû l'exploiter pour le lui prouver et pour qu'il la corrige. Je pouvais faire ce que tu décris car la faille me permettait d'avoir accès à la console d'administration du site sans avoir à m'authentifier (ex: www.monfofo.fr/admin), ce qui me permettait d'augmenter mes droits en exécutant un script sql puis je pouvais tout faire sur le foum.

C'est toi qui a développé le site? Je pense que tu pourrais avoir le même type de faille ou bien un accès mal sécurisé. Après il faut trouver où elle se trouve...

Comme déjà conseillé, fais les mises à jour ce qui devrait combler des vulnérabilités.

Tu ne peux pas banir son IP aussi pour que dès qu'il essaye d'accéder au site, il soit bloqué? (bon OK il peut utiliser un VPN pour contourner ca).

Si tu penses qu'il n'a pas accès à ta base de données directement, tu peux créer un TRIGGER BEFORE INSERT qui sera exécuté à chaque modification sur ta table où sont gérés les droits afin d'interdire leur modification (tu te mets seul administrateur et dès qu'une requête veut modifier tes droits ou mettre quelqu'un en d'autre en admin, tu ne pocède pas à la mise à jour et tu logues la tentative dans une autre table). Le seul moyen de contouner le TRIGGER sera d'accéder à la base de donnée directement pour y faire les modifs.