Discussion :

[othmane126]

Bonjour, j'ai créé des composants, et des modules joomla que j'ai intégré à un site communautaire.

Le problème qui se pose c'est celui de la sécurité. Je suis encore débutant sous joomla et je connais pas vraiment les précautions de sécurité à prendre.

En bref, Je veux juste savoir est ce que le fait d'utiliser les fonctions insertObject et les fonctions mosGetParam et la fonction intval si besoin sont suffisantes pour être protégé des injections sql. Je veux aussi savoir si joomla est protégé contre les bruts forces?

Et merci à vous

J'utilise joomla 1.0.15 , php5, mysql 5

[moez.mhiri]

Les composants vulnérables
Depuis quelques mois, la popularité de Joomla a attiré une vague de hackers sur la communauté. Comment s'y prennent-ils? Où sont les failles? Que faire pour se protéger?

Quelques réponses dans cet article...

Certains composants sont vulnérables aux attaques par "Code Inclusion". C'est à dire qu'il est possible via le web de modifier des fichiers sur votre serveur. Généralement la manipulation consiste à remplacer votre fichier configuration.php par la page du hacker.

Voici une liste de composants qui comportent ou qui ont comporté dans leurs versions précédentes ce type de vulnérabilité :


com_simpleboard
com_hashcash
com_htmlarea3_xtd-c
com_sitemap
com_performs
com_forum
com_pccookbook
com_extcalendar
minibb
com_smf
com_pollxt
com_loudmounth
com_videodb
com_pcchess
com_multibanners
com_mgm
com_mambatstaff
com_securityimages
com_artlinks
com_galleria
com_akocomment com_cropimage
com_catalogs
com_kochsuite
com_comprofiler
com_zoom
com_serverstat
com_fm
com_a6mambohelpdesk
com_colophon


Que faire si vous avez un de ces composants sur votre site? 3 solutions s'offrent à vous :


Télécharger la dernière mise à jour du composant
Modifier vous même le composant pour empêcher ce type d'attaque (un article détaillera la manipulation bientôt)
En dernier recours, supprimez le!

[othmane126]

Merci pour ta réponse moumou21 ça me soulage un peu par ce que je n'utilise qu'aucun de ces compostants. En fait j'ai créé mes propres composants par ce que je ce qu'on voulait n'été pas disponible. Donc, je crois qu'on ne risque pas beaucoup, on va attendre que le site soit en ligne pour découvrir les vulnérabilités.