Discussion :

[hisy]

Bonjour

Depuis que j'ai mis FCKEDITOR sur mon site de BLog j'ai de gros pb de sécurité ...

Il ya meme eu des plaintes de AOL pour SPAM depuis mon site. Mon hébergeur 2&2 pour ne pas le nommer m'a mis en demeure de régler mon pb sous peine de fermeture définitive de moncompte ...

Du coup j'ai fermer le Blog et ca ne semble pas se reproduire ...

Existe il des failles connues à FCKEDITOR ... ??
Exite il un produit du meme type plus fiable ??

PS: J'avais "cusomisé" l'editeur pour ne pas donner la possibilité d'uploader des fichiers ...

[galette]

Est-ce que tu as toujours l'option mail (dans ajouter lien)? Je sais pas comment ca marche , mais ca pourrait etre bien de la desactiver pour ton probleme de SPAM.

Apres pour l'upload je vois pas trop le rapport avec les spam.Peut etre voir les droit sur le repertoire d'upload (evite de laisser tout les droits a tout le monde).

Gaetan

[Mr N.]

Je suis curieux de savoir comment on peut spammer à partir d'un éditeur
Qu'est ce que tu proposait comme champ à tes visiteurs (j'imagine que ça concerne les commentaires) ?

[hisy]

Ben en fait moi je fais un rapprochement purement chronologique, j'ai mis Fck et je me retrouve avec des problemes que j'avais jamais eu avant ...

C'est peut etre un coincidence.

Pour ce qui est des commentaires je ne laissait qu'un simple textarea mais c'est au niveau de la création du blog que j'ouvrais à tout le monde que j'ai mis un FcKEditor pour la rédaction des "articles".

A coté de ca je donnais la possibilité de charger des images.
Un formulaire de contact .
Un livre d'or.
Un petit forum ...

=> autant de failles potentielles .

Le truc c'est que j'ai aucun élément d'investigation, j'ai recu un mail d'1et1 qui me dit avoir eu une plainte d'AOL pour SPAMs et c'est tout ...
et comme dit ... ca coincide avec la mise en place de FcKeditor ...

Bah ... en attendant j'ai fermé le site ... je vais creuser.

[galette]

En fait je viens de tester l'histoire de mail dans FCKeditor. Quand tu ajoutes un lien de type mail , c est un mailto:plop@plop.com. Du coup ca m'etonnerai que ton probleme de SPAM vienne de la. C'est vrai que je vois pas trop comment spammer a partir d'un editeur...

Pas compris ta question :

Qu'est ce que tu proposait comme champ à tes visiteurs (j'imagine que ça concerne les commentaires) ?

C'est quoi tes problemes de securite, j'avoue que je comprends pas trop.

Gaetan

[Mr N.]

Un formulaire de contact .

Il y a grande chance que le problème viennent de là. Tu peux nous en dire plus (+code) ?

[hisy]

Je m'apercois en le publiant que le code de ce formulaire date d'une lointaine période ou je n'utilisais pas libmail ...

Voici le traitement appelé par mon formulaire.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
 
 
$evenement=isset($_POST['evenement'])?$_POST['evenement']:"";
if ( $evenement == "envoi_mail") {
$site=$_POST['site'];
$from=$_POST['mail'];
$to=$_POST['to'];
$cc=$_POST['cc'];
$societe=$_POST['societe'];
$fonction=$_POST['fonction'];
$nom=$_POST['nom'];
$prenom=$_POST['prenom'];
$adresse=$_POST['adresse'];
$cp=$_POST['cp'];
$localite=$_POST['localite'];
$tel=$_POST['tel'];
$fax=$_POST['fax'];
$question=$_POST['question'];
 
$date=date('d/m/Y');
$heure=date('H:i:s');
 
$message="\n\rContact depuis le site $site\n\r\n\r";
$message.="Envoyé par ".strtoupper($nom)." ".$prenom." le ".$date." à ".$heure;
$message.="\n\rCoordonnées :\n\r";
$message.="M(me) ".strtoupper($nom)." $prenom \n\r";
if ($societe != '') { $message.="SOCIETE: $societe, "; }
if ($fonction != '') { $message.=" en qualité de: $fonction \n\r"; }
$message.="$adresse\n\r";
$message.="$cp ".strtoupper($localite);
$message.="\n\rTel: $tel \nFax: $fax\n\r";
$message.="$from\n\r";
$message.="\n\r \n\r A posé la question suivante : \n\r$question ? \n\r"; 
if (mail($to, "Contact en provenance du site ", $message, "From: $site \n\rReply-To: $from \n\rCc: $cc\n\r")){
echo "<SCRIPT language='javascript'>PopupCentrer('envoi_mail_ok.php','150','130','');</SCRIPT>";
}
// ACCUSE DE RECEPTION
//----------------------------------
// Construction de l'entête
//----------------------------------
$delimiteur = "-----=".md5(uniqid(rand()));
 
$entete = "MIME-Version: 1.0\r\n";
$entete .= "Content-Type: multipart/related; boundary=\"$delimiteur\"\r\n";
$entete .= "\r\n";
 
//--------------------------------------------------
// Construction du message proprement dit
//--------------------------------------------------
 
$msg = "BloGosse vous informe que ceci est un message au format MIME 1.0 multipart/mixed.\r\n";
 
//---------------------------------
// 1ère partie du message
// Le code HTML
//---------------------------------
$msg .= "--$delimiteur\r\n";
$msg .= "Content-Type: text/html; charset=\"iso-8859-1\"\r\n";
$msg .= "Content-Transfer-Encoding:8bit\r\n";
$msg .= "\r\n";
$msg .= "<html><body><B>Madame, Monsieur</B><BR><BR>";
$msg .= "Vous nous avez fait parvenir un courrier électronique le $date à $heure , et nous vous en remercions. </br>";
$msg .= "Votre demande a été prise en compte et nous nous efforcerons de vous répondre dans les plus brefs délais.<BR><BR>";
$msg .= "Cordialement<BR><BR>";
$msg .= "<a href='http://www.mondomaine.com'><img src=\"cid:image1\" border='0'></a><br /></body></html>\r\n";
$msg .= "\r\n";
 
//---------------------------------
// 2nde partie du message
// Le 1er fichier (inline)
//---------------------------------
$fichier = "images/logomail.jpg";
$fp = fopen($fichier, "rb");
$fichierattache = fread($fp, filesize($fichier));
fclose($fp);
$fichierattache = chunk_split(base64_encode($fichierattache));
 
$msg .= "--$delimiteur\r\n";
$msg .= "Content-Type: application/octet-stream; name=\"$fichier\"\r\n";
$msg .= "Content-Transfer-Encoding: base64\r\n";
$msg .= "Content-ID: <image1>\r\n";
$msg .= "\r\n";
$msg .= $fichierattache . "\r\n";
$msg .= "\r\n\r\n";
// ---------------------------------------
$msg .= "--$delimiteur\r\n";
 
$destinataire = $from ;
$expediteur = "BloGosse";
$reponse = "<a href="mailto:webmaster@mondomaine.com">webmaster@mondomaine.com</a>";
mail($destinataire,"ACCUSE DE RECEPTION : BloGosse", $msg, "From: $expediteur\r\nReply-to: $reponse\r\n".$entete);
}

et maintenant que tu me le dis j'ai eu de droles de mails de contact en provenance de ce site ... mais je les ai pas gardés

Mais ton audit est bon à prendre ...

[Mr N.]

Ben voilà, ne cherche pas plus loin, ça vient de là !
Une saine lecture pour toi :
http://www.phpsecure.info/v2/article...dersInject.php

[hisy]

Bon toutes mes excuses à la FCKEditor Dev Team ...

Une saine lecture pour toi :
http://www.phpsecure.info/v2/article...dersInject.php

et Hop dans mes favoris ... et au boulot HiSy ...


Merci Bcp .