[résolu] Faille se sécurité ou bug sur le forum ?

[fneck]

Je recopie ici une portion de discussion d'un autre topic pour pouvoir développer davantage.

(...) j'arrive pas a poster mon code j'ai une erreur 502 bad Gateway

On avait déjà trouvé ce bug... probablement un bug de phpBB, je n'ai pas retrouvé le message. C'est une suite de quelques caractères précis qui provoque systématiquement le plantage.

En essayant avec ton code j'ai retrouvé que c'est la suite de caractères #% 00 (sans l'espace au milieu) qui plante phpBB (ou le forum). Même en la mettant dans la recherche ou recherche via Google ça plante !

J'ai trouvé le bug :
Si vous mettez 2 zéro juste après le signe pourcentage dans un message, ce n'est pas filtré et provoque une éxécution du code, d'où le plantage.
Cela s'appelle une NULL BYTE INJECTION et c'est une faille de sécurité sérieuse. Voici comment s'en prévenir :

https://www.chiny.me/null-byte-injection-14-7.php



Règle numero uno : toujours filtrer les données envoyées par un utilisateur :

Code : Tout sélectionner

<?php
echo htmlspecialchars($str);
?>

Donc voilà, on a un truc qui s'appelle Null Byte Injection qui provoque systématiquement une erreur 502 Bad Gateway sur le forum. Je disais qu'il s'agissait peut être d'un bug de phpBB, et que d'ailleurs même dans le champ "Recherche" ça le faisait aussi.

Où ça m'interroge c'est que sur d'autres forum phpBB (champ recherche) on peut rentrer cette série de caractères sans problème .Donc le soucis se situerait plutôt ici ?

Sachant que le code de phpBB n'est pas de moi... il y a bien quelques "mods" appliqués. J'en appelle aux spécialistes du web ou de php pour m'aider à comprendre et puis bien sûr à résoudre le problème?

[David.G]

Bonjour Fabien, vérifie quelle version de phpBB utilisent ces sites et la tienne, peut-être ont-ils la dernière version et toi non ?
Chaque version corrige des failles et l'indique sur son site en général. Voir leur page téléchargement.

il n'y pas de quoi s'alarmer, mais il faut simplement remonter ce bug a l'équipe de phpBB.
Mais cette faille doit être prise au sérieux. Car quand un pirate voit une négligence, il se dit qu'il peut y en avoir d'autres...
Et il va sortir le scanner pour voir les failles Web possibles (XSS, CSRF, SQL, LFI, RFI, etc..), Havij SQL, etc.

Toi c'est pas ta faute Fabien, c'est a eux de corriger.
Toi de ton côté, tu dois simplement vérifier que tu utilises bien la dernière mise a jour.
Si tu leur fait part de ton souci, ils devraient corriger.

Je suis développeur Web , je ne suis pas expert en sécurité informatique, ce n'est pas mon métier,
mais je pourrais aider ou conseiller avec plaisir car je sécurise mes sites web, même les professionnels du Web.

J'avais signalé une belle faille XSS a un CMS bien connu il y a 10 ans, on avait pris le contrôle administrateur du créateur du CMS avec un lien forgé
qui nous a renvoyés ses cookies de connexion. Ils ont corrigé et nous avaient remercié. Les mercis sont rares.

Ici c'est clairement leur appli web phpBB qui merde.
La preuve, c'est que si on mets le code de Duruti sur Pastebin ou W3schools, aucun problème : car eux filtrent les données envoyées par l'utilisateur.

Mais tu n'as pas ce souci avec ton hébergeur lui-même je pense, donc c'est pas très grave. Si tu veux, je peux faire un beta-test.

J'ai refait complètement le système obsolète de chiffrement (md5) des mots de passes admin/utilisateurs d'une agence web le mois dernier.
Le patron, CTO qui code en PHP depuis 15 ans, ne connaissait même pas ce que je lui ai montré, ça fait peur.
Le mec ne comprenait même pas comment fonctionne le chiffrement ni l'informatique en fait et il a pourtant des clients.
Et je vois ça tous les jours. J'ai prévenu des centaines de sites web, en général ils s'en foutent royalement.

[fneck]

Je ne sais pas comment voir la version d'un site phpBB sans en être modérateur ?
M'enfin j'en ai fait bien une 12aine et aucun ne plante avec cette requête de recherche (dont certains qui n'ont pas l'air d'avoir fait une mise à jour depuis longtemps). De même je n'ai trouvé via Google aucune page qui parle de ce problème.

Je me demande maintenant si ce ne serait pas une option du serveur php de mon hébergeur. Et au final ce ne serait pas une faille, peut-être même au contraire, puisqu'une requête contenant ce "%zérozéro" serait bloquée par mon hébergeur... ?

[David.G]

Tout est possible mais par prudence il faut trouver d'où ça vient car ce n'est pas normal de déclencher une erreur 502 comme ça.
Quand mon Alice 90 ne s'affichait pas, je ne savais pas qui était le fautif mais vous m'avez donné la solution sur le forum.
Mais ça m'a pris des jours et des jours...

Oui, il ne faut pas tenter de mettre a jour phpBB si on ne maitrise pas le truc.
C'est comme moi si j'essayais d'ouvrir et réparer mon magnétophone : je risque de le casser.
Plein de gens mettent a jour leur site WordPress, la version de PHP ne correspond pas avec la version de PHP installée sur leur hebergeur et ils cassent tout.

C'est pour ça qu'il faut avoir une version phpBB vide sur un autre nom de domaine
sur laquelle tu peux tester plein de trucs sans risque.
J'installe pour mes clients une deuxieme version de leur site sur laquelle ils peuvent tester des trucs.
S'ils cassent quelque chose, je réinstalle et c'est pas grave.

Pour mes sites a moi, je travaille toujours en local et pas sur la version de production (celle en ligne)

Bref, tu peux prendre un autre hebergeur pour 10 balles par mois, tu installes phpBB et tu testes
plein de trucs sans toucher au forum de system-cfg.

=========================================

Et cela peut venir d'autre chose que de phpBB.
Moi je suis Dev en PHP, donc ce que je ferais pour le savoir, je me coderais une simple page avec un formulaire pour envoyer un texte et une deuxieme page qui reçoit et affiche ce texte, en sécurisant le texte reçu avec la fonction PHP htmlspecialchars.

Si cela s'affiche correctement, cela vient de phpBB.
Si cela plante comme avec phpBB, ce n'est donc pas phpBB le fautif mais autre chose.

Exemple ici : https://www.w3schools.com/php/func_stri ... lchars.asp
Tu peux tester en ligne htmlspecialchars ici : https://www.w3schools.com/php/phptryit ... ecialchars

Tu peux mettre % 00 dans la variable str$, aucun problème.

==========================
Sinon j'ai vu que tu peux connaître le numéro de version de phpBB dans PHPMyAdmin : (peut être dans l'interface admin aussi ?)

"How can I see the exact version of my phpBB?
The version of your phpBB can be seen in the admin area of the forum.

The other way to check your phpBB version is to look it up directly in the phpBB database.

Go to cPanel > phpMyAdmin. Then from the left bar select the database for your phpBB installation. Browse the table phpbb_config and find the option version. Its value represents your current phpBB version."

Source : https://hostlantern.com/clients/knowled ... hpBB-.html
===========================
J'ai vu qu'il existe un forum phpBB français mais je ne les connais pas, donc ne fais jamais confiance a un site trouvé sur internet.
Je ne sais pas ce qu'ils valent mais tu peux leur poser la questions sans même donner le nom de ton site (par sécurité, sois paranoïaque)

https://www.phpbb-fr.com/forums/

N'envoie jamais tes login/mot de passe a quelqu'un que tu ne connais pas.
Imagine je crée un forum bidon phpBB et les gens m'envoie leur identifiants pour que je règle leur problème :
Je n'ai plus qu'a les pirater. Certains sites se sont même fait pirater et servent de pot de miel. Donc prudence.

Par exemple, sur ce forum, tu pourrais faire confiance a Carl, Daniel et Patrice vu qu'ils t'aident sur le Wiki alice, vous êtes amis.
Mais a personne d'autre je pense, ni a moi ni a quiquonque.

[David.G]

Fabien, comme ce problème m'intrigue et m'intéresse, demain j'installerai
phpBB Forum sur un des mes sites et je testerai.

[fneck]

Attends plutôt de voir si la réponse ne va pas apparaître ici d'un membre qui a déjà rencontré le problème.
Je ne suis pas particulièrement inquiet, ce problème est apparu 2 fois en plus de 15 ans d'existence du forum, mais c'est vrai que j'aimerais en connaître la cause.

[DiscoSeb]

Hello,

Je ne pense pas qu'il faille s'inquiéter : pour moi c’est juste une règle d’un WAF (firewall applicatif) sur le serveur web qui a bloqué la requête pour éviter d’exposer phpBB. Donc il a fait son boulot…

C’est vrai que ce n’est pas joli comme message mais au moins ça évite de possibles faiblesses du code du site.
Pour m’en assurer, je viens d’installer la même version de phpBB que toi Fabien (sans WAF et sans tes plugins) et en publiant un message avec la suite de caractères, je n’ai pas eu de souci, le message est bien passé.

Ensuite désactiver cette règle du WAF n’est pas une bonne idée surtout si tu n’as eu que 2 cas en 15 ans.

[fneck]

Discoseb, si je comprends bien ce que tu me dis ça serait bien mon hébergeur qui est en cause ? Car ce n'est pas moi qui ait installé ce WAF et je ne pense pas y avoir accès. J'ai un peu fouillé dans le module d'administration de mon hébergement hier soir, il y a des dizaines d'option que je ne maitrise pas... donc je laisse les valeurs par défaut.

[DiscoSeb]

En effet dans le cadre d'un hébergement mutualisé, le WAF est installé sur le serveur web par l'hébergeur (exemple mod_security sur apache). C'est souvent un premier niveau de protection et je pense que tu dois avoir quelque part une possibilité d'exclure des règles de ton hébergement (probablement via un fichier .htaccess).

Si ton hébergement ne comporte pas de WAF cela peut être simplement une règle dans le fichier .htaccess du forum (mais ca m'étonnerai).
En tout cas phpBB ne propose pas cette règle en standard dans son .htaccess.

Dans tout les cas, laisse comme ça, ça offre un minimum de protection et pour le moment peu d'inconvénient.

[David.G]

@ Fabien : Il suffit juste de procéder par élimination :

- Soit ça vient des règles de l'hébergeur et il suffit de leur passer un coup de téléphone ou d'envoyer un ticket et leur technicien te dira.

- Soit cela vient de phpBB et le technicien te le dira aussi.

- Tu peux prendre un hébergement PHP gratuit et t'amuser à installer phpBB et à tester toutes ses fonctions pour bien le connaître.

Si tu sais mettre une page web sur ton site (ne le fais pas si tu ne le sens pas), tu peux ajouter cette pas et la tester.
Tu verras alors si l'erreur se produit ou pas et tu auras ta réponse.
Exemple de formulaire sécurisé en PHP (nom de page = "test_nb.php" par exemple ; la fonction "test_input" sécurise les données reçues" ) :

Code : Tout sélectionner

<!DOCTYPE HTML>  
<html>
<head>
</head>
<body>  

<?php
// define variables and set to empty values
$name = $comment = "";

if ($_SERVER["REQUEST_METHOD"] == "POST") {
  $name = test_input($_POST["name"]); 
  $comment = test_input($_POST["comment"]); 
}

function test_input($data) {
  $data = trim($data);
  $data = stripslashes($data);
  $data = htmlspecialchars($data);
  return $data;
}
?>

<h2>PHP Formulaire Validation Exemple</h2>
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">  
  Nom <input type="text" name="name">
  <br><br> 
  Commentaire: <textarea name="comment" rows="5" cols="40"></textarea> 
  <br><br>
  <input type="submit" name="submit" value="Submit">  
</form>

<?php
echo "<h2>Your Input:</h2>";
echo $name;
echo "<br>"; 
echo $comment;
echo "<br>"; 
?>

</body>
</html>

[fneck]

J'ai chargé ton code ici https://www.system-cfg.com/testdavid.php , je le laisse quelques temps puis je l'enlèverai (je ne sais pas si on pourrait en faire quelque chose de mal).

C'est bien mon hébergeur qui bloque, là on est totalement hors du forum !

Maintenant j'en suis sûr, merci pour le coup de main

[David.G]

@fneck : de rien. Tu peux me contacter en MP si tu as des questions, avec plaisir.

Mon code est sécurisé, donc personne ne peut rien faire de mal avec. (double utilisation de htmlspecialchars)

Tu peux rentrer du code HTML ou Javascript malicieux et il sera non exécuté. Par contre, le null byte est toujours la. Donc réglages de l'hébergeur.

On a la preuve maintenant que ce n'est pas phpBB.

[fneck]

Merci pour ta proposition, j'y penserai le cas échéant.

Concernant le problème d'aujourd'hui, je ne vais rien faire tant qu'un besoin ne s'en fera pas sentir plus que ça. J'ai marqué "résolu" dans le titre du topic.