logo Homepage
+  NewbieContest
|-+  News» News Hacking/Cracking/Phreaking» le mois des bugs PHP
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: le mois des bugs PHP  (Lu 3720 fois)
Erazer

Profil challenge

Classement : 4340/54252

Néophyte
*
Hors ligne Hors ligne
Messages: 7


Voir le profil
« le: 05 Mars 2007 à 17:50:43 »

Le 15 décembre, dans une actualité, nous parlions de Stephan Esser, un membre de la PHP Security Response Team. Esser avait décidé de quitter cette équipe, car ses vues sur la sécurité du langage étaient différentes et il jugeait notamment que les réactions aux bugs et failles étaient bien trop lentes.

À ce moment-là, Esser programmait déjà un « Month of PHP Bugs », c’est-à-dire un mois complet pendant lequel il publierait les détails d’une faille du PHP par jour, accompagnée de ses détails et de sa méthode d’exploitation. En fait, ce fameux mois des bugs PHP est actuellement en cours et onze failles ont été publiées à ce jour.

url des bugs:
PHP-security.org



src:pcinpact
Journalisée

Il faut beaucoup d'efforts et une conduite que la bravoure et la prudence accompagnent constamment pour pouvoir réussir : il ne faut qu'une faute pour tout perdre ... [Sun Tzu]
the lsd
Administrateur

Profil challenge

Classement : 189/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #1 le: 05 Mars 2007 à 17:53:04 »

Je deplace le topic dans la partie news.

Interressant ce lien si il explique vraiment.
/me va faire un tour sur le site

Enjoy

The lsd

Edit : effectivement, il est tres interressant ce lien
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Folcan

Profil challenge

Classement : 505/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1520


Voir le profil
« #2 le: 06 Mars 2007 à 12:28:36 »

Et oui, Stephan à vraiment frappé un gros coup la dessus... Le PHP prend chere !!

Pour les non anglophones, je met une petite description faite par nos confreres de pcimpact :

Citation
Le 15 décembre, dans une actualité, nous parlions de Stephan Esser, un membre de la PHP Security Response Team. Esser avait décidé de quitter cette équipe, car ses vues sur la sécurité du langage étaient différentes et il jugeait notamment que les réactions aux bugs et failles étaient bien trop lentes.

À ce moment-là, Esser programmait déjà un « Month of PHP Bugs », c’est-à-dire un mois complet pendant lequel il publierait les détails d’une faille du PHP par jour, accompagnée de ses détails et de sa méthode d’exploitation. En fait, ce fameux mois des bugs PHP est actuellement en cours et onze failles ont été publiées à ce jour.

L’ensemble de l’action émane du Hardened-PHP Project dont la mission est d’améliorer la sécurité générale du langage. Les failles présentées se focalisent d’ailleurs sur le cœur du PHP, ses extensions et sur le Zend Engine. Il est par ailleurs précisé que seuls les véritables problèmes affectant le langage lui-même sont présents, en opposition à l’usage potentiellement dangereux qui peut être fait du langage.

Morguefile trou faille sécurité Dans une série de questions et réponses publiées sur la page d’accueil du site, les auteurs précisent bien qu’il ne s’agit pas d’une attaque, d’une revanche ou d’une conspiration contre le PHP. Ils précisent ainsi que le seul but est d’améliorer la sécurité du langage, en exposant brutalement les détails de plusieurs failles pour provoquer une réaction plus rapide des personnes concernées.

Toutes sortes de failles sont visées, du déni de service à l’exécution de code à distance. C’est toutefois la publication systématique d’un code d’exploitation qui sert ici de détail troublant. Car non seulement la faille est révélée publiquement et documentée, mais une démonstration d’utilisation complète figure à côté de chacune.

Les auteurs précisent que le code d’exploitation est très important pour deux raisons :

    * Beaucoup de personnes ne croient souvent pas qu’une faille est réellement exploitable
    * L’absence de démonstration pour certaines failles représente la raison essentielle du retard ou du manque de correction pour lesdites failles

Les intéressés pourront donc se rendre sur la page consacrée au projet et vérifier les détails des onze premières failles publiées.


(source : http://www.pcinpact.com/actu/news/35053-php-bugs-securite-stephan-esser-hardened-php.htm)
Et c'est vrai que c'est vraiment passionnant !!

/me ne savais pas qu'un phpinfo etait faillible )
une recherche sur google, et l'on voit enormement de sites avec des phpinfo ^^
Journalisée

-=[FoLc@N]=-

Citation :
* Le futur appartient à ceux qui croient à la beauté de leurs rêves, je crois au miens, NewbieContest aura un bon futur.
* Il y'a seulement 10 categories de gens dans la vie : ceux qui comprennent le binaire, et les autres.
Nms

Profil challenge

Classement : 74/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 794


Voir le profil
« #3 le: 06 Mars 2007 à 14:15:42 »

Mouais l'histoire du phpinfo c'est une pauvre XSS hein... rien en comparaison avec les autres qui sont des milliards de fois plus intéressantes ! Il a tenu à mettre la faille du phpinfo car ça fait je sais plus combien de tps que cette faille traine, les développeurs PHP ne l'avaient patchée que partiellement, du coup il en remet une couche. Normal.
Le vrai intérêt du travail d'Esser ce sont les Bof et autres Dos qu'il propose, là y a du gros niveau. Pas toujours réalisable (il faut certaines conditions pour la plupart), mais c'est vraiment du lourd. Ca fait pas mal de tps que je suis les travaux d'Esser, et il ne finit pas de m'impressionner. Une référence ce gars.
Après on peut ne pas être d'accord avec sa façon de faire, mais vu la réactivité digne de la plus vieille tortue des galapagos de la cellule sécurité de PHP, j'estime de mon côté qu'il a raison d'agir ainsi. Même si un certain nombre de lamers ne se géneront pas pour utiliser les failles publiées pour rooter nombre de serveurs... Mais c'est à mon avis le prix à payer pour que PHP ne soit plus le gruyère sécuritaire que l'on connaît. A vous les studios.
Journalisée

Ex Newbie Contest Staff :
Nms
Status :
Concepteur d'épreuves
Citation :
Je ne sais qu'une chose : que je ne sais rien. (Socrate)
Pages: [1]
  Imprimer  
 
Aller à: