La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

A9 - Utilisation de composants avec des vulnérabilités connues.

Publié parFloriane Bonneau Modifié depuis plus de 7 années

Présentations similaires

Présentation au sujet: "A9 - Utilisation de composants avec des vulnérabilités connues."— Transcription de la présentation:

1 A9 - Utilisation de composants avec des vulnérabilités connues

2 Introduction Les systèmes déjà conçus que l'on utilise pour faire d'autres projets sont en constante évolution. Par exemple, Drupal, Curse (Addons). Beaucoup de ces systèmes sont en Opensource et contiennent des modules définis qui peuvent être activé ou ignoré. Souvent lorsqu'un système prend de l’ampleur la communauté augmente et ce sont eux qui vont créer les modules.

3 Post-Nuke C'est une C3MS, (Community, Collaboration, Content Management System). Application qui permette de gérer une communauté, collaboration entre les membres et le contenus. Évidemment ça cause des problèmes quand ceux-ci (les membres) sont tout nouveaux et apprennent en faisant des modules qui peuvent parfois ressortir avec des bugs.

4 Environnement Affectés Étant donné que le Post-Nuke est en PHP, il va de soit que seul les utilisateur de PHP auront ces problèmes et les sites fait avec Post- Nuke. La particularité de Post-Nuke est que son code se trouve dans une base de donnée qui sera relié a un son module. Donc lorsqu'un module est activé par l'utilisateur, le site lit la base de donnée pour trouver le code qu'il doit effectuer.

5 Post-Nuke Post-Nuke fonctionne avec des modules

6 Les modules sont en ligne et lié aux comptes administrateurs en plus d'être intégrer dans une base de données.

7 Exemple de Cas Le module de 'gallery' était fait pour ceux qui étaient enregistrés sur le site. Cependant, c'était tout de même possible d'y accéder en tant qu'utilisateur non-enregistré. Le programmeur a dut écrire du code pour empêcher les fraudeurs d'accéder à la 'gallery' sans être connecter.

8

9 Comment éviter la faille ● Les Updates du système. ● Regarder pour des fixes rapides sur internet en attendant le patch officiel. ● Désactiver la fonctionnalité si elle n'est pas utilisée. ● Créer un fix personnel pour contourner la faille.

10 Conclusion Les programmes open source sont souvent très plaisant à utiliser et souvent très facile d'utilisation mais il faut faire attention avec les ajouts que l'on peut y faire. Si un module a été conçu par un néophyte, il est possible qu'il ait des lacunes qu'une personne plus expérimenté aurait couvert.

11 Webinographie ● http://galleryproject.org/node/3091 http://galleryproject.org/node/3091 ● http://www.hiveworkshop.com/forums/triggers- scripts-269/things-leak-35124/ http://www.hiveworkshop.com/forums/triggers- scripts-269/things-leak-35124/ ● http://edutechwiki.unige.ch/en/C3MS http://edutechwiki.unige.ch/en/C3MS ● http://galleryproject.org/node/8985 http://galleryproject.org/node/8985

Télécharger ppt "A9 - Utilisation de composants avec des vulnérabilités connues."

Présentations similaires

DRUPAL Wilhelm Keven Schweich Philippe. Table des Matières ● Avantages/Désavantages ● Mots clés ● Frontend ● Backend ● Contenu ● Structure ● Apparence.

DRUPAL Wilhelm Keven Schweich Philippe. Table des Matières ● Avantages/Désavantages ● Mots clés ● Frontend ● Backend ● Contenu ● Structure ● Apparence.
Gestion de la concurrence avec Entity Framework Développement d’application avec base de données Chapitre 23 Hugo St-Louis – Automne 2015.

Gestion de la concurrence avec Entity Framework Développement d’application avec base de données Chapitre 23 Hugo St-Louis – Automne 2015.
ATELIER : APPRENTISSAGE VOLET : Fiche de révision

ATELIER : APPRENTISSAGE VOLET : Fiche de révision
Paramétrage des codes tâches Paramétrage des codes tâches / Droits d’accès / Temps passés 1 / Temps passés 2 / Paramétrage desDroits d’accès Temps passés.

Paramétrage des codes tâches Paramétrage des codes tâches / Droits d’accès / Temps passés 1 / Temps passés 2 / Paramétrage desDroits d’accès Temps passés.
Commerce électronique Automne 2015.  Introduction  Création du panier d’achats  Migration du panier d’achats  Conclusion.

Commerce électronique Automne  Introduction  Création du panier d’achats  Migration du panier d’achats  Conclusion.
Rover 5, technologie et innovation ● Notre problématique : ● Comment la robotique peut-elle assister ● l'homme dans un milieu à risque ? ● Application.

Rover 5, technologie et innovation ● Notre problématique : ● Comment la robotique peut-elle assister ● l'homme dans un milieu à risque ? ● Application.
GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)

GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)
Journée du Logiciel Libre 28 Février 2009 Présentation ● Marc-Henri PAMISEUX, gérant de la SSLL Libricks à LAVAL, membre actif de l'association MAYLUG;

Journée du Logiciel Libre 28 Février 2009 Présentation ● Marc-Henri PAMISEUX, gérant de la SSLL Libricks à LAVAL, membre actif de l'association MAYLUG;
Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.

Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
SPIP Un logiciel libre pour la gestion d'un site web d'informations SPIP.

SPIP Un logiciel libre pour la gestion d'un site web d'informations SPIP.
1 Après 5 séances ● Utilisation du système Linux – Il faut maîtriser l'utilisation de la souris (« copy/paste » des textes donnés) – Utilisation de la.

1 Après 5 séances ● Utilisation du système Linux – Il faut maîtriser l'utilisation de la souris (« copy/paste » des textes donnés) – Utilisation de la.
Jesús MUÑOZ (http://www.luztic.org) Créer son site internet avec Joomla!

Jesús MUÑOZ ( Créer son site internet avec Joomla!
Environnement Numérique de Travail. ● Qu'est-ce qu'un ENT ? C'est un site internet doté d'un accès sécurisé proposant des services numériques utiles à.

Environnement Numérique de Travail. ● Qu'est-ce qu'un ENT ? C'est un site internet doté d'un accès sécurisé proposant des services numériques utiles à.
Comprendre les sites web MODULE 1 | CHRISTIAN BLÉSER (2015)

Comprendre les sites web MODULE 1 | CHRISTIAN BLÉSER (2015)
Créer un site Web avec Eva Spip Première approche B. Gugger – Mars 2006 – Département RTC.

Créer un site Web avec Eva Spip Première approche B. Gugger – Mars 2006 – Département RTC.
WIKITEM L'encyclopédie collaborative des produits Diaporama de présentation libre de droits.

WIKITEM L'encyclopédie collaborative des produits Diaporama de présentation libre de droits.
Dans le cadre de la modernisation des procédures administratives et de la réécriture du casier viticole informatisé (CVI), la DGDDI propose progressivement.

Dans le cadre de la modernisation des procédures administratives et de la réécriture du casier viticole informatisé (CVI), la DGDDI propose progressivement.
Josy Outils collaboratifs 1er octobre Le couplage Sympa - ferme de (doku)wikis pour les organisations virtuelles O. Lumineau, D. Verdin, O. Salaün,

Josy "Outils collaboratifs" 1er octobre Le couplage Sympa - ferme de (doku)wikis pour les organisations virtuelles O. Lumineau, D. Verdin, O. Salaün,
1 Rapport PFE Gestion de Stock M LLE Nouhaila Touzani Ouazli.

1 Rapport PFE Gestion de Stock M LLE Nouhaila Touzani Ouazli.
Les commandes externes

Les commandes externes

Présentations similaires

Annonces Google