MyBB.support, le portail francophone de MyBB

Version complète : Faille sur Mybb.
Vous consultez actuellement la version basse qualité d’un document. Voir la version complète avec le bon formatage.
Salut à tous,

Certain dise de mon forum un côté "Reversing / Cracking / Debuggers"

Nous sommes que dés ados Hacker qui veulent apprendre, "Criminal-Crew" est un forum public de partage de touts genre. Certe, ces contraire au règler Mybb. Mais je prend le risque.

Bref, Ont fais du bien comme du mal ! Aujourd'hui je vous partage, Une Faille Mybb qui touche votre web-site "Exploit Title: MYBB 1.6.12 search.php Sql injection"

Link : mybb.fr/search.php?action=results&sid[0]=9afaea732cb32f06fa34b1888bd237e2&sortby=&order=

Je n'attends pas à être récompenser, je voudrait juste un peu de respects, pas qu'on me crashe à la gueule comme si j'était un terroriste.

Pour la patch ->

Aller sur votre ftp, chercher : "search.php" modifier le :

Chercher ceci dans le bloc-note "search.php" : $sid = $db->escape_string($mybb->input['sid']);

Et modifier le par : if(is_array($mybb->input['sid']))
$sid = $db->escape_string(implode($mybb->input['sid']));
else
$sid = $db->escape_string($mybb->input['sid']);

Cordialement,
n0rman. @Fondateur de Criminal-Crew.
Bien joué, a fixer !
Salut,
le hack que ce soit du whitehat grayhat ou blackhat reste illégal dans tous les cas.
Ce ne sont pas tellement les règles de mybb mais plutôt les lois.

(ps : Ce genre "d'erreur" doit se faire par message privée et non en public, une fois de plus tu offres des possibilités à certains de découvrir certaines failles de mybb et je parie ma main au feu que certains après avoir lu ce topic en profiterons pour s'attaquer à de pauvre forum innocent....)
Cette vulnérabilité avait été corrigé dans les versions subséquentes.

Pendant que des hackers cherchent les vulnérabilité, les développeurs eux les corrigent...

Cette vulnérabilité fût largement documentées sur le WEB, généralement par des personnes sans scrupules ou inconscients.

Avons-nous besoin de hackers pour nous aider à les trouver? NON merci!

Il n'existerait plus aucun hacker dans le monde et le monde ne s'en porterait que beaucoup mieux.

Je parle en mon nom personnel et comme a mentionné Zeatlan :
Zeatlan a écrit :Salut,
le hack que ce soit du whitehat grayhat ou blackhat reste illégal dans tous les cas.
Ce ne sont pas tellement les règles de mybb mais plutôt les lois.

(ps : Ce genre "d'erreur" doit se faire par message privée et non en public, une fois de plus tu offres des possibilités à certains de découvrir certaines failles de mybb et je parie ma main au feu que certains après avoir lu ce topic en profiterons pour s'attaquer à de pauvre forum innocent....)

Ce qui démontre l'inconscience des hackers...

Les dernières générations de jeunes devraient plutôt s'intéresser à créer des choses utiles et/ou de nouveaux concepts afin d'aider leurs proches, plutôt que de détruire pour satisfaire leurs "égo"...

Ils devraient au moins être sensible au fait que de lourdes amendes et des peines de prison sont prévues pour leurs gestes illégaux et amoraux!

Cette situation sera toujours pour moi, d'une tristesse infinie. Sad
Je ne peux qu'approuver les remarques apportées par exdiogene et Zeatlan et insister sur quelques points.

Dans chaque version successive que je traduis et que je propose, je prends soin de répéter ceci, sans cesse, parce que c'est important :

Citation :Rapports de vulnérabilités de sécurité MyBB

Si vous pensez que vous avez trouvé une vulnérabilité dans MyBB, nous vous conseillons de ne pas la poster publiquement sur ces forums, ni de publier des informations à ce sujet ailleurs jusqu'à ce que nous ayons eu le temps de préparer et de publier un correctif.

Comme toujours, vous pouvez envoyer les messages liés à la sécurité sur le site MyBB sur la page Contactez-nous ou dans notre forum enquêtes privées - où vous pouvez démarrer un nouveau sujet que seuls vous et l'équipe de MyBB peuvent voir.

Merci.
Ce paragraphe n'est pas là par hasard. Rechercher et informer de failles éventuelles est certes positif, mais ce doit être fait dans les règles de discrétion et de précaution afin de ne pas mettre en péril des forums existants dans une version ancienne où le problème n'a pas été fixé.

Le hacking ne peut être que négatif et à proscrire dans tous les cas de figure. Il n'y a pas de hacking propre. C'est une invention pour se donner bonne conscience.
La meilleure preuve, c'est que la hacking, blanc, noir ou gris est condamné par les lois, sinon par la morale.

Il faut vraiment avoir l'esprit dérangé pour s'évertuer à mettre en danger des années de travail bénévole qui permettent d'offrir au plus grand nombre un script de forum très évolué.


On peut faire le bien autour de soi, on peut faire le mal aussi, c'est un choix personnel.
La société actuelle est gangrénée par des comportements et des actions que pour ma part je n'arrive pas à comprendre, et il semble que cette évolution soit sans fin ni limite, hélas.

On a perdu les valeurs morales que des générations successives ont inculquées à leur descendance. Et ceux qui participent à cette dégradation de la société en sont fiers.

Moi aussi, tout ça me plonge dans une tristesse infinie.

Citation :Nous sommes que dés ados Hacker qui veulent apprendre
Oui et alors, on a tous appris dans notre jeunesse, sans pour autant avoir besoin du hacking.
Mieux vaut devenir un bon programmeur que de pratiquer le reversing pour s'approprier le travail d'autrui.
On n'a pas besoin de voler pour nourrir son intelligence (à condition d'en avoir une !).

Citation :Bref, Ont fais du bien comme du mal
Pourquoi ne pas choisir uniquement le bien, c'est pas à la mode ?

Citation :Je n'attends pas à être récompenser, je voudrait juste un peu de respects, pas qu'on me crashe à la gueule comme si j'était un terroriste.
Tu voudrais du respect sans respecter les autres ? J'ai du mal à comprendre. Faudrait-il respecter le voleurs ?... Huh

Personne ici ne t'a craché à la gueule (selon ton expression) que je sache, de toute façon, ça ne fait pas partie de notre façon d'être.

Je me doute bien que tout ce que j'ai écrit sera vain, mais au moins ça aura le mérite de contrebalancer tes fausses affirmations.

Il est d'autres moyens de se "valoriser"... mais ce n'est pas dans l'air du temps.

Je termine en mettant un bémol : je ne généralise pas, tous les ados n'ont pas cette façon de penser (et heureusement), je connais des ados irréprochables qui ne pensent qu'à faire le bien autour d'eux, impliqués dans des associations caritatives et/ou sociales. Bref, le contraire d'égoïstes imbus de leur personne.

Mais une forte minorité est influencée par tous ces trucs. ça fait bien d'âtre un hacker, on a un (faux) sentiment de puissance. Mais est-ce une preuve d'intelligence ? Mes propos précédents ont déjà répondu à ma question.

A bon entendeur
Ok premierement les ''hacking'' et la securité est un tres grand commerce .... vous n'avez pas besoin de hacker pour proteger votre application web... donc pourquoi il y a des failles (meme dans la version 1.8) ... ce n'est pas une forme d'intelligence hahaha quand on passe des securité ''inpenetrable'' ou quon code des script ou exploit sans nous vous seriez extremement vulnerable.... le hacking est illegal ... mais c'est un besoin je suis d'accord de ne pas mettre les failles public mais une reponse d'un administrateur de ce genre donne le gout de publier la database ..... forum plein de faille = mybb (crs cookie stealing faille sql faille xss faille lfi ) vous en voulez d'autre.....
Wow!

J'ai l'impression de lire un criminel disant que sans eux, il n'y aurait pas de policiers, et de personnel dans les prisons!

Je ne peux comprendre une telle logique. Grâce à un voleur, le propriétaire d'un immeuble viens de s'apercevoir que son système de protection est inefficace. Bravo, il faudrait donc dire merci au voleur! Non, moi je n'adhère pas à cette logique de con...

Il est préférable d'avoir une société où les gens ayant des valeurs morales défaillantes soient absents. Il est préférable d'avoir une cité harmonieuse sans policier et système pénal, qu'une cité ayant des prisons pleines à craquer.

Il serait temps que les parents assument les conséquences de leurs enfants mal éduqués. La société n'en serait que mieux servie.

Non mais... Sad
Whouu ! je ne peux m'empêcher de répondre.

@Zeatlan : Merci pour ce magnifique post-scriptum, il a presque réussi à me faire rire.

Non mais vraiment… Tu penses vraiment que les gens attendent qu’un ado poste la faille sur le forum officiel FR pour l’exploiter ? Elle doit tourner depuis bien longtemps sur des forums spécialisés… (Il est évident que la découverte ne vient pas d’eux).
Dans le cas où la personne belliqueuse ne serait pas au courant, il est bien peu probable qu’elle soit capable d’effectuer la moindre une injection SQL.


@exdiogene « Ce qui démontre l'inconscience des hackers... »

Dans leurs cas c’est plus proche du script-kiddies que du « hacker »… pas grand choses à craindre.
Au pire il fait quoi ? Il exploite ? Ok. Bien fait pour l’admin du site, il avait qu’à mettre son forum à jour et faire des backups… ça lui servira de leçon pour la prochaine fois.

Ah oui, je suis le premier concerné… certains de mes forums/sites ne sont pas à jour. (Manque de temps / flemme)
Je prends le risque et j’assume de tomber un jour sur des gens malveillants. Ça ne sera pas la première fois et certainement pas la dernière.

Il est préférable d'avoir une société où les gens ayant des valeurs morales défaillantes soient absents. Il est préférable d'avoir une cité harmonieuse sans policier et système pénal, qu'une cité ayant des prisons pleines à craquer.

Moi aussi je rêve de vivre dans un monde idéal, mais ce n’est pas le cas. Il suffit de sortir 10 minutes pour s’en rendre compte…

@ spyto « On a perdu les valeurs morales que des générations successives ont inculquées à leur descendance »

Alors là vraiment… l’histoire n’est qu’une boucle qui se répète sous différentes formes. L’humanité est complètement incapable d’apprendre, il n’y a qu’à regarder l’actu pour s’en apercevoir.
Nous sommes d’ailleurs dans une période très intéressante avec les ukrainiens et les Russkoffs.

« Mieux vaut devenir un bon programmeur que de pratiquer le reversing pour s'approprier le travail d'autrui. »
A titre d’information le reverse engineering est légal dans le cadre d’une interopérabilité.

« La meilleure preuve, c'est que la hacking, blanc, noir ou gris est condamné par les lois, sinon par la morale. »
La loi est faite des hommes. Et comme les hommes sont faillibles, la loi l’est aussi. Pas besoin de te citer d'exemples, réfléchis un peu tu trouveras seul.

Bref, c’est en aucun cas pour le défendre. Il n’a pas respecté le règlement de ce forum… il a eu le support suspendu, tant pis pour lui.

De toute évidence ils sont très jeunes… l’erreur fait partie intégrante de l’apprentissage.

Vous l’aurez compris, ce n’est pas les posts de Norman qui m’a fait réagir mais les autres.
Bien que je sache que ce n'est pas le cas, en vous lisant j’ai eu l’impression de lire des propo de personnes étroites d’esprit et de « bisounours ».

(06-09-2014, 1:19)Tlams a écrit : [ -> ]Moi aussi je rêve de vivre dans un monde idéal, mais ce n’est pas le cas. Il suffit de sortir 10 minutes pour s’en rendre compte…

André Breton (1924) a écrit :Pourquoi n'accorderais-je pas au rêve ce que je refuse parfois à la réalité, soit cette valeur de certitude en elle-même, qui, dans son temps, n'est point exposée à mon désaveu ?

Bien que cet avis n'engage que moi, c'est la seule réponse que j'ai trouvée à un message aussi dénué d'intérêt...

Ce que font idiotement les adolescents mal éduqués dont parlaient Spyto et Exdiogene, c'est une intrusion dans un système informatique, ce qui est totalement illégal en France, et sévèrement puni par la loi (et je suis bien placé pour le savoir).

Je pense que la discussion est close.
 Utilitaire de traduction fourni par Regentronique