A9 - Utilisation de composants avec des vulnérabilités connues
Introduction Les systèmes déjà conçus que l'on utilise pour faire d'autres projets sont en constante évolution. Par exemple, Drupal, Curse (Addons). Beaucoup de ces systèmes sont en Opensource et contiennent des modules définis qui peuvent être activé ou ignoré. Souvent lorsqu'un système prend de l’ampleur la communauté augmente et ce sont eux qui vont créer les modules.
Post-Nuke C'est une C3MS, (Community, Collaboration, Content Management System). Application qui permette de gérer une communauté, collaboration entre les membres et le contenus. Évidemment ça cause des problèmes quand ceux-ci (les membres) sont tout nouveaux et apprennent en faisant des modules qui peuvent parfois ressortir avec des bugs.
Environnement Affectés Étant donné que le Post-Nuke est en PHP, il va de soit que seul les utilisateur de PHP auront ces problèmes et les sites fait avec Post- Nuke. La particularité de Post-Nuke est que son code se trouve dans une base de donnée qui sera relié a un son module. Donc lorsqu'un module est activé par l'utilisateur, le site lit la base de donnée pour trouver le code qu'il doit effectuer.
Post-Nuke Post-Nuke fonctionne avec des modules
Les modules sont en ligne et lié aux comptes administrateurs en plus d'être intégrer dans une base de données.
Exemple de Cas Le module de 'gallery' était fait pour ceux qui étaient enregistrés sur le site. Cependant, c'était tout de même possible d'y accéder en tant qu'utilisateur non-enregistré. Le programmeur a dut écrire du code pour empêcher les fraudeurs d'accéder à la 'gallery' sans être connecter.
Comment éviter la faille ● Les Updates du système. ● Regarder pour des fixes rapides sur internet en attendant le patch officiel. ● Désactiver la fonctionnalité si elle n'est pas utilisée. ● Créer un fix personnel pour contourner la faille.
Conclusion Les programmes open source sont souvent très plaisant à utiliser et souvent très facile d'utilisation mais il faut faire attention avec les ajouts que l'on peut y faire. Si un module a été conçu par un néophyte, il est possible qu'il ait des lacunes qu'une personne plus expérimenté aurait couvert.
Webinographie ● ● scripts-269/things-leak-35124/ scripts-269/things-leak-35124/ ● ●