Questions générales relatives à l'utilisation de Kunena

[RESOLU] Sourcerer execute le php dans Kunena.

  • Eclipse
  • Auteur du sujet
  • Hors Ligne
  • Membre expérimenté
  • Membre expérimenté
  • Un Geek ne vieillit pas, il se met à jour.
Plus d'informations
23 Mar 2015 13:47 #1 par Eclipse
La source suivante, copiée dans un message de Kunena, est exécutée.
Une idée pour que Sourcerer puisse être désactivé sur le forum ?
Bien que les fonctions à risques soient désactivée, je suppose que c'est pas très clean.
{source}<?php
/* Le code PHP pour tester le bon fonctionnement */
echo ((date("L"))? "L'année ".date("Y")." est bissextile" : "L'année ".date("Y")." n'est pas bissextile");
echo("<br />");
/*Le même script écrit différemment */
if(date("L")){echo "L'année ".date("Y")." est bissextile";}
else{echo "L'année ".date("Y")." n'est pas bissextile";}
?>{/source}

Veuillez vous connecter ou vous enregistrer pour rejoindre la conversation.

Plus d'informations
24 Mar 2015 13:05 #2 par failrOn
Bonjour,

Y-a-t-il un plugin dans sourcerer qui permet de faire cela ?

Pour soutenir le projet Kunena : soutenir via le système de sponsor de github
Les utilisateur(s) suivant ont remercié: Eclipse

Veuillez vous connecter ou vous enregistrer pour rejoindre la conversation.

  • Eclipse
  • Auteur du sujet
  • Hors Ligne
  • Membre expérimenté
  • Membre expérimenté
  • Un Geek ne vieillit pas, il se met à jour.
Plus d'informations
24 Mar 2015 20:08 #3 par Eclipse
Je ne sais pas, je ne le connais pas suffisamment.

Télécharger sourcerer : www.nonumber.nl/fr/extensions/sourcerer#download

Je vais chercher pour les plugin.
Mais, si il n'existait pas, comment pourrais je faire ?

En effet, si j'ai bien compris, sourcerer permet l'execution, partout, de PHP, et JS, si entouré des balises {source}

Peut être qu'il est possible de configurer des balises personnalisées, et plus complexes.

Je n'ai pas vérifié, mais, je suppose qu'il doit être facile de créer un visuel des tables, ou autres, actuellement, via commandes PHP. ça fait un peu peur.
Il faudrait que je vérifie sur les commandes interdites, si les DELETE, UPDATE SELECT sont bien interdites. Pour le SELECT, ça peut vite devenir contraignant si je veux utiliser ma BDD pour afficher des éléments dans un article.

Veuillez vous connecter ou vous enregistrer pour rejoindre la conversation.

  • Eclipse
  • Auteur du sujet
  • Hors Ligne
  • Membre expérimenté
  • Membre expérimenté
  • Un Geek ne vieillit pas, il se met à jour.
Plus d'informations
24 Mar 2015 20:52 - 24 Mar 2015 20:52 #4 par Eclipse
Ok j'ai vu que les options de sécurité sont payantes pour sourcerer.
Par contre, j'ai le droit de changer le tag de la balise qui permet d'executer le code php, ce que j'ai fais.
Mais, est ce seulement suffisant pour éviter un risque ?

Je vais encore voir a interdire des commandes PHP supplémentaires.

Par hasard, vous n'auriez pas un listing sous la main, qui présente les fonctions dangereuses de PHP a omettre ? :D
Dernière édition: 24 Mar 2015 20:52 par Eclipse.

Veuillez vous connecter ou vous enregistrer pour rejoindre la conversation.

Plus d'informations
25 Mar 2015 13:02 - 25 Mar 2015 13:02 #5 par failrOn
En regardant sur le site de l'éditeur que tu as donné, c'est un plugin système qui permet de faire ça d’où l'utilisation des balises {source}.

Désactiver les fonctions dangereuses de Php ne suffira pas, par exemple tu peux récupérer les informations de configuration de Joomla!...
Code:
$config = JFactory::getConfig(); $fromname = $config->get('fromname');

Ta demande c'est que le plugin soit inactif sous Kunena ?

Pour soutenir le projet Kunena : soutenir via le système de sponsor de github
Dernière édition: 25 Mar 2015 13:02 par failrOn.
Les utilisateur(s) suivant ont remercié: Eclipse

Veuillez vous connecter ou vous enregistrer pour rejoindre la conversation.

  • Eclipse
  • Auteur du sujet
  • Hors Ligne
  • Membre expérimenté
  • Membre expérimenté
  • Un Geek ne vieillit pas, il se met à jour.
Plus d'informations
31 Mar 2015 17:26 - 05 Mai 2015 06:28 #6 par Eclipse
Oui dans le meilleur des cas, je pense que pour la sécurité, il faudrait pouvoir le désactiver sur Kunena ? Tu penses pas ? ;)
Ou plutôt, qu'en penses tu, de façon générale ?

Sur le tchat développez, ils ont hurlés à la mort, du fait de l'utilisation d'une fonction, qui permet l'execution du php sur tout le site.

Pour aller plus loin, il faudrait certainement pouvoir le désactiver un peu partout, au niveau de chaque éditeur de texte.

L'utilité première de sourcerer est de permettre l'execution de code PHP dans le contenu, pour les auteurs, rédacteurs, éditeurs AVERTIS.

Le soucis, c'est que je me rend compte qu'il fonctionne trop bien.

Du coup, si les utilisateurs ne sont pas correctes et commencent a chercher la petite bête, on ce retrouve quand même face à un très gros risque de sécurité.
Ton avis ?

Donc, dans un premier temps, ce que j'ai fais, c'est que j'ai changé la balise {source}, pour une balise {site01persoAmoi}

Je relis ce que tu as écris, ah oui quand même, on peut récupérer les infos de Joomla!
Je vais tester le code suivant que tu as mentionné :
$config = JFactory::getConfig();
$fromname = $config->get('fromname');

Et oh effectivement, il marche très bien, ou comme nous le disions, trop bien.

Deux questions restent donc ouvertes :
Désactiver partiellement sourcerer sur d'autres composants, comme Kunena par exemple.
Et, est ce que avoir changé la balise {source} suffit, ou bien, un developpeur doué peut t'il retrouver cette information quelque par, avec un scann, ou autre méthode ?
Dernière édition: 05 Mai 2015 06:28 par Eclipse.

Veuillez vous connecter ou vous enregistrer pour rejoindre la conversation.

Modérateurs: lavstephtramber91failrOnScottuxdede17serge
Temps de génération de la page : 3.248 secondes
Propulsé par Kunena