FreeBB.com, un service sans pub mais aussi sans sécurité.

Free-BB est un service en ligne qui propose aux webmasters de créer gratuitement leurs propres forums et livres d'or. Free-BB héberge le service et n'affiche aucune publicité. Nous y avons découvert une faille de sécurité permettant à une personne malintentionnée d'exécuter du code sur un ordinateur distant. Ce sont les deux services, forums et livre d'or, qui se révèlent vulnérables.

Source : ECHU.ORG

_QUOTEC


Sûr que n'importe qui a les capacités d'avoir son propre forum, free-BB a décidé de mettre à disposition de tous une interface 'clef en main', performante et gratuite, et dont la personnalisation complète sera accessible à tous.
Un forum soigné et complet, dont la facilité de configuration, d'installation et d'utilisation, font qu'il va devenir partie intégrante de tous les sites tentés par l'aventure communautaire.




Le problème :

Le problème vient des fichiers utilisés par Free-BB pour les forums et livres d'or. Ces fichiers possédent des vulnérabilités XSS causées par l'absence de filtres au niveau des balises :

[couleur=codecolor]texte[/couleur]

et

[imag]URL de l'image[/imag].

Une personne malintentionnée peut poster un message, sur les forums et livres d'or créé sur Free-BB, qui contiendra du code qui sera executé sur l'ordinateur des personnes visualisant le message.

Details :

Free-BB ne posséde pas de filtre pour bloquer les caractères :

;<>*()"']

Voici un exemple avec le fichier module-livredor.php (ligne 42) :

$coment=preg_replace("/(\[couleur=(.*?)\])(.*?)(\[\/couleur\])/i"

Le code devrait être :

$coment=preg_replace("/(\[couleur=([#a-zA-Z0-9]*)\])(.*?)(\[\/couleur\])/i"

Exemple :

Exemple d'exploitation :

[couleur=expression(alert('unsecure'))]texte[/couleur]

ou

[imag]java script:alert('unsecure')[/imag]

Solution :

Free-BB a été contacté mais n'a donné aucune réponse. Il aura fallut attendre deux semaines pour voir une réaction de l'équipe de Free-BB qui a corrigé son service discrètement sans rien annoncer.

Ce temps est bien trop long pour corriger quelques simples lignes de code, je déconseille donc ce service aux webmasters soucieux de leur sécurité.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
2 commentaires
    Votre commentaire
  • H2Oforever
    Pas super cool et sérieux, tout ça! :-?
    0
  • Manucz
    Ce que je ne trouve vraiement pas cool, c'est votre "professionnalisme" (oui les guillemets sont vraiment importants).
    Le webmaster de ce site à répondu à cet article.

    Voici la réponse :

    Citation:
    Voici ma réaction face à votre critique de mon site www.free-bb.com forum gratuit pour webmasters.

    Je suis surpris et déçu: vous vous prétendez
    ètre un site sur l'Actualité Informatique
    , mais visiblement vous ne maîtrisez pas votre sujet. Pourquoi? Tout simplement parce que vous ne parlez pas du bon site....
    Les preuves: les balises incriminnées n'existent pas:-D
    Le code source du forum n'est en effet pas disponible, il est privé et donc impossible à voir ou télécharger.
    Ensuite quand vous avancez, je vous cite: Citation :
    Voici un exemple avec le fichier module-livredor.php (ligne 42) :
    , vous parlez tout bonnement d'une page qui n'existe pas sur le site :-D. Et enfin comment pouvez vous affirmer que la ligne 42 est défectueuse puisque vous ne pouvez avoir accés au code source...? Je termine en m'étonnant des critiques que vous portez sur les filtres !!!!!!javascript!!!!!!, lesquels existent depuis des lustres et donnent satisfaction à une grande majorité....

    Je vous conseille donc d'aller faire un tour sur http://www.trisur-team.net/module-livredor.php . Vous vous apercevrez que vous avez fait fausse route. Je vous serai alors reconnaissant de reorienter vos commentaires vers la bonne adresse. D'avance merci.



    critiquer c'est bien quand c'est constructif et qu'on laisse un droit de réponse, dans ce cas-ci c'est gratuit et sans fondement.
    Je me permet donc de mettre en doute votre "ouvrez les guillemets PRFESSIONALISME fermez les guillemets".


    Citation:
    Free-BB a été contacté mais n'a donné aucune réponse. Il aura fallut attendre deux semaines pour voir une réaction de l'équipe de Free-BB qui a corrigé son service discrètement sans rien annoncer.
    Ce temps est bien trop long pour corriger quelques simples lignes de code,



    2 semaines, ça peut paraitre long, mais réfléchissons, si si vous pouvez y arriver, faites un effort : Vous êtes un webmaster et quelqu'un vient vous dire que votre site est dangereux en vous expliquant. Vous, vous savez que ce que cette personne raconte est faux et que de toute évidence, cette personne ne sait pas de quoi elle parle.
    Question : Allez vous vous précipitez pour répondre à ce baltringue, ou allez vous vous occuppez des évolutions que votre site attend?


    Citation:
    je déconseille donc ce service aux webmasters soucieux de leur sécurité.



    Quand on donne son avis, il faut assumer, donc on signe son article. De plus, je suis utilisateur de ce service gratuit et sûr et je le conseille vivement.

    Emmanuel Colson
    0