Comments (6)
salut !
root il sert juste de placeholder comme non de page afin d'appeler le handler render
. Peut etre maintenant y'a une route plus propre qui passe par ?api
?
En tout cas, le problème me semble plus lié à OSSEC, je vois pas en quoi c'est problématique pour un site web d'avoir une url avec "root" dedans et un params un peu long en "GET". C'est plutot sur les règles de config de OSSEC qu'il faudrait revoir non?
A+
from yeswiki.
merci pour ton retour.
oui t'as raison, je n'avais pas bien regardé la requête... en effet, c'est simplement le nom de page, le "root" m'avait perturbé... mais ça aurait pu être PagePrincipale. Je ne savais d'ailleurs pas que les handlers fonctionnaient avec des noms arbitraires.
et puis j'ai essayé avec un autre nom que root, et ça se met aussi en sécurité. Je pense plus que c'est dû à la longueur de content (le render fonctionne bien avec des actions plus courtes) et vu que c'est du code yeswiki, il doit croire à une injection genre SQL injection.
bref, je vais voir pour qu'on ajoute plutôt une exception à OSSEC pour gérer le cas.
from yeswiki.
Merci @seballot pour ton expertise !
Le souci vient du mot clé root
dans l'URL. Voici la règle OSSEC:
<!-- Attempt to do directory transversal, simple sql injections,
- or access to the etc or bin directory (unix). -->
<url_pcre2>%027|%00|%01|%7f|%2E%2E|%0A|%0D|\.\./\.\.|\.\.\\\.\.|echo;|</url_pcre2>
<url_pcre2>cmd\.exe|root\.exe|_mem_bin|msadc|/winnt/|/boot\.ini|</url_pcre2>
<url_pcre2>/x90/|default\.ida|/sumthin|nsiislog\.dll|chmod%|wget%|cd%20|</url_pcre2>
<url_pcre2>exec%20|\.\./\.\.//|%5C\.\./%5C|\./\./\./\./|2e%2e%5c%2e|\\x5C\\x5C</url_pcre2>
<description>Common web attack.</description>
Si j'autorise le mot clé root
, j'expose le serveur (qui héberge d'autres sites non YesWiki) à ce type d'attaque.
Serait-il possible de remplacer root
par un autre mot clé ou c'est compliqué ?
Merci !
from yeswiki.
oui c'est facile j'ai fait un fix sur doryphore-dev
from yeswiki.
et puis j'ai essayé avec un autre nom que root, et ça se met aussi en sécurité.
merci @seballot, c'est juste que ça ne change rien. Je viens de réessayer au cas où avec ton fix mais non, pas mieux.
J'imagine qu'une exception ajoutée à OSSEC pour les urls contenant ?root/render&
ou ?wiki/render&
devraient suffire.
from yeswiki.
Merci @seballot !
Du coup, on laisse tomber et je rajouterai un exception OSSEC, mais dans tous les cas c'est bien d'avoir enlevé ce mot clé qui fait partie des mots clés suspects, car il n'y a pas que OSSEC comme logiciel de blockage des tentatives de piratage.
from yeswiki.
Related Issues (20)
- Bug sur bazarfield utilisateur_wikini
- Droits d'accès Commentaire ouverts à tous possible mais pas fonctionnel
- Titre en double pour les modales ouvertes par BazarListe HOT 3
- Plusieurs modales s'ouvrent lorsqu'on navigue entre fiches Bazar HOT 2
- Propriété d'une nuvelle fiche : confusion avec la page de création HOT 2
- Boutons de mise en forme qui ne fonctionnent plus HOT 3
- Vue cartographie : Bug vue initale après une édition
- interpréter les éléments de mise en forme dans un tableau ou un affichage cards HOT 1
- Non prise en compte dans la gestion des groupes des identifiants commençant par une @ HOT 2
- Pb d'affichage du crayon d'aceeditor dans les champs textelong
- Les actions YesWiki en mode edition ne sont plus reconnues quand dans une liste a puce HOT 2
- Improve DB performances
- Composant bazar conditionschecking incompatible avec checkboxfiche HOT 3
- Gestion des droits sur un champ bazar - perte de données si mauvaise configuration des droits
- Image par défaut dans les formulaires bazar
- Impossibilité de sauver une form (trop long)
- Impossible d'associer un utilisateur avec un espace à la fin de son nom à un groupe HOT 4
- Plus de choix dans les dates
- Problème liste à puce - saut de ligne
- Incompatibilité affichage calendar dans un accordion
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from yeswiki.