UAG CMS : Test de sécurité

[JulienetNel]

De base stocker des info en clair c'est pas bon , alors sois tu mets un .htaccess ou alors tu cryptes les données avec un algo de ta création, tu peux aussi faire un mix, je te conseille aussi de chiffrer le mot de passe en MD5.

Le script d'upload , déjà dit mais je le redit , il est pas sécurisé contre la faille upload en général.

Concernant la favicon et le logo j'ai l'impression qu'on peut inclure n'importe quelle page, j'ai pas testé , mais cela vaudrait le coup d'inclure une page php qui renvoi une image et script malveillant(enfin un fake pour le test)

Je n'ai pas non plus eu le temps de vérifier le code si quelqu'un à le courage , il faudrait vérifier si des tokens sont utilisés sinon n'importe qui peut faire une CSRF et ainsi modifier ton configuration.txt

Certains on été plus rapide ^^"

@Drku, il a surement du faire ça pour simplifier la tache des utilisateurs

Pour le code, je faisais déjà un hashage. Cependant, je ne le faisais pas au bon endroit, donc il ne servait à rien. Le mot de passe dans le fichier n'est plus en clair normalement. Pour hasher, j'utilise sha1 et un petit salt.

Voilà comment j'ai résolu le probléme, j'ai directement mis le hashage et le salt sur la requête post du mot de passe. Au lieu de mettre celui-ci dans le config, comme je le faisais précédemment. Par sécurité, je ne remplis pas non plus le formulaire du mot de passe sur la page de configuration ... il faut donc rentrer le code à chaque modification. Je fais aussi un str_replace sur "php". Les modifications ont été faites aussi sur le script d'installation.

Il me restera à faire un truc pour chiffrer le reste des données.

En ce qui concerne le script d'upload, j'utilise "uniqid()" à la place du nom du fichier. Ça permet d'avoir identifiant unique, si j'ai bien compris. Avec timestamp, j'aurais peut être eu un petit problème. Les fichiers avec une extension php sont déjà interdit, mais je me dis que ça pouvait éviter un truc du genre "test.php.jpg". Je ne suis pas sûr que ça soit suffisant.

Pour éviter l'inclusion d'une page php, je remplace simplement php dans l'administration par un smiley avec str_replace. Il y avait déjà htmlentities.

J'ai rajouté une protection anti-CSRF. Normalement, il y a un token différent à chaque connexion sur l'administration. Celui-ci est vérifié dans l'administration en + du mot de passe et du login. Je ne sais pas, si je me suis bien prit étant donner que c'est la premiere fois que j'utilise les tokens.

Il faudra que je pense à faire expirer un token en fonction de 5 ou 10 min.

Oui,j'ai fait ça pour simplifier l'installation du script. Je pense néanmoins à utiliser un jour sqlite, quand j'aurais apprit à gérer correctement "Php".

Merci pour le retour qui ma été utile . Les modifications sont sur la 1.82.