Tentative d'injections SQL : faux diagnostic d'aeSecure ? Topic is solved

Informations concernant la sécurité, support et assistance pour améliorer les performances de son site Joomla! 3.0, 3.1 et 3.5

Moderators: Aidan38, sarki

Forum rules
Règles du forum
Locked
Mister Paul
Joomla! Intern
Joomla! Intern
Posts: 78
Joined: Tue Sep 30, 2008 12:29 pm

Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by Mister Paul » Sat Sep 07, 2019 1:51 pm

Bonjour,

j’ai un site protégé avec la version gratuite d’aeSecure.
Parallèlement j’utilise AcyMailing pour l’envoi de newsletters.
J’ai utilisé avec plaisir la V5 pendant longtemps.
J’ai installé la V6 pour que des non-codeurs puissent utiliser l’éditeur drag’n drop pour créer des campagnes. Par contre maintenant avec la V6 quand je souhaite, côté administrateur, visualiser la page où devraient être affichées les listes auxquelles seront envoyées la newsletter (il s’agit ici de consulter quelque chose de déjà enregistré), elles ne le sont pas car la requête est bloquée par aeSecure.

Le message d'erreur affichée par la console :
Failed to load ressource: the server responded with a status of 403 (Forbidden (aeSecure))
(je joins la copie d'écran de la console)

Si je clique sur le lien du message de la console : j’ai une page d'aeSecure avec le message :
Accès refusé.
Si vous pensez que c'est une erreur, merci de contacter le gestionnaire du site pour qu'il adapte le niveau de sécurité
Code : 682 - Tentative d'injections SQL
NB : l'ancienne version, la V5, ne pose pas de problème.

Le support d'AcyMailing me dit que ce n'est pas un bug de leur nouvelle version et que cela provient de aeSecure...

Qu’en est-il à votre avis ?


Merci pour l'aide
PAul
Capture-2019-09-03-14.52.33.jpg
You do not have the required permissions to view the files attached to this post.

User avatar
pmleconte
Joomla! Explorer
Joomla! Explorer
Posts: 463
Joined: Fri Mar 17, 2017 12:55 pm
Location: France

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by pmleconte » Sat Sep 07, 2019 4:26 pm

Bonjour Mister Paul,

Je viens de faire un petit test (en local) avec la version 6.2.2 d'Acymailing et Aesecure, sans rencontrer votre problème.

En regardant dans le fichier htaccess généré par AeSecure, il y a une série de lignes vers la fin du fichier qui permet de bloquer les attaques habituelles sur les sites Joomla avec un petit commentaire :

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site then comment out the operations listed
# below by adding a # to the beginning of the line.
# This attempts to block the most common type of exploit `attempts` on Joomla!
#

Essayez de mettre en commentaire les lignes en question comme suggéré dans le commentaire pour voir quelle ligne peut provoquer votre problème.

Pascal
If anything can go wrong, it will.
https://www.conseilgouz.com/en

Mister Paul
Joomla! Intern
Joomla! Intern
Posts: 78
Joined: Tue Sep 30, 2008 12:29 pm

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by Mister Paul » Sat Sep 07, 2019 7:58 pm

Merci pour l'aide
mais malheureusement aucune de ces lignes commentées n'a modifié l'accès de la page...

User avatar
pmleconte
Joomla! Explorer
Joomla! Explorer
Posts: 463
Joined: Fri Mar 17, 2017 12:55 pm
Location: France

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by pmleconte » Sun Sep 08, 2019 2:45 pm

Avez-vous regardé dans le fichier log d'AESecure ?

il est dans le répertoire aesecure/logs. Ce fichier donne en général la ligne ayant provoqué l'erreur et la raison de l'erreur.

Pascal
If anything can go wrong, it will.
https://www.conseilgouz.com/en

Mister Paul
Joomla! Intern
Joomla! Intern
Posts: 78
Joined: Tue Sep 30, 2008 12:29 pm

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by Mister Paul » Sun Sep 08, 2019 3:02 pm

Oui j'ai regardé aesecure_accessdenied.php (de ce que je vois activity.log ne donne que les actions que j'ai personnellement faites dans aeSecure)

La ligne qui correspondent au blocage d'AcyMailing dans aesecure_accessdenied.php :
"2019-09-08 16:51:08",78.XXX.44.155,"/administrator/index.php?option=com_acym&tmpl=component&fc2b3191db98dd4645399207993b5683=1&page=acymailing_lists&ctrl=lists&action=acymailing_router&noheader=1&task=setAjaxListing&listsPerPage=10&pagination_page_ajax=undefined&selectedLists=[%221%22,%222%22,%223%22,%224%22,%226%22,%227%22,%228%22,%229%22,%2210%22,%2211%22,%2212%22,%2213%22]&alreadyLists=undefined&show_selected=false&search_lists=&needDisplaySub=1&nonActive=1",682,"Tentative d'injections SQL",,,"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.1.2 Safari/605.1.15",
J'ai supprimé au fur et à mesure des éléments de la chaîne refusée pour voir si ce qui pouvait bloquer, mais je n'ai pas eu de résultat probant.
Je vais réessayer-là des fois que...

User avatar
pmleconte
Joomla! Explorer
Joomla! Explorer
Posts: 463
Joined: Fri Mar 17, 2017 12:55 pm
Location: France

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by pmleconte » Sun Sep 08, 2019 3:21 pm

En regardant un peu plus en détail la ligne de commandes Acyba, elle contient des %22, des [

Cela est interprété par aesecure comme une tentative d'injections SQL.

Pour faire passer, il faut modifier le fichier .htaccess dans la section Block injection tentatives pour lui dire d'ignorer les erreurs Acyba (avec le risque d'ouvrir une brèche...):

Code: Select all

 # Block SQL injection tentatives
 # Block f.i. http://yoursite/index.php?%3CDROP%20TABLE%20jos_users%3E
 RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%25|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|declare|drop|update|md5|benchmark).* [NC,OR]
 RewriteCond %{QUERY_STRING} ^.*(%20)?([(])?(union|select|insert|cast|declare|group_concat|drop|update|md5|benchmark)%20.* [NC,OR] 
 RewriteCond %{QUERY_STRING} ^.*(%20|\+)(AND|OR)(%20|\+).* [NC,OR] 
 RewriteCond %{QUERY_STRING} ^.*(%20|\+)ORDER(%20|\+).* [NC,OR] 
 RewriteCond %{QUERY_STRING} ^.*%201\=1.* [NC] 
 RewriteCond %{QUERY_STRING} !option=com_acym(.*)$ [NC]   # exception for Acyba
 RewriteRule .* /caps/aesecure/accessdenied.php?s=682 [L]
Pascal
If anything can go wrong, it will.
https://www.conseilgouz.com/en

User avatar
pmleconte
Joomla! Explorer
Joomla! Explorer
Posts: 463
Joined: Fri Mar 17, 2017 12:55 pm
Location: France

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by pmleconte » Sun Sep 08, 2019 3:26 pm

Mister Paul wrote:
Sat Sep 07, 2019 1:51 pm
...
Le support d'AcyMailing me dit que ce n'est pas un bug de leur nouvelle version et que cela provient de aeSecure...
...
C'est lié à la façon pas très orthodoxe de passer une série de paramètres. Cela a dérangé AESecure, mais, je pense que cela peut provoquer le même problème sur d'autres outils de sécurisation tels que Akeeba AdminTools ou tout autre "générateur" de fichier htaccess.

Pascal
If anything can go wrong, it will.
https://www.conseilgouz.com/en

Mister Paul
Joomla! Intern
Joomla! Intern
Posts: 78
Joined: Tue Sep 30, 2008 12:29 pm

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by Mister Paul » Sun Sep 08, 2019 3:28 pm

Finalement c'est cette partie de la chaîne qui bloque "&show_selected=false" car si je l'enlève ça passe (= je n'arrive pas sur la page de blocage d'aeSecure)
Mettre true, ne rien mettre comme valeur ou déplacer cet élément en bout de chaîne ne fonctionne pas :
il faut l'enlever pour ne plus être bloqué.

Oui, dans le fichier .htaccess, dans la partie # Block SQL injection, si je commente cette ligne, la requête passe :

Code: Select all

RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%25|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|declare|drop|update|md5|benchmark).* [NC,OR]
Effectivement c'est une ligne avec %22
:-[
Last edited by Mister Paul on Sun Sep 08, 2019 3:31 pm, edited 1 time in total.

User avatar
pmleconte
Joomla! Explorer
Joomla! Explorer
Posts: 463
Joined: Fri Mar 17, 2017 12:55 pm
Location: France

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by pmleconte » Sun Sep 08, 2019 3:31 pm

On est bien sur les mêmes lignes, mais, plutôt que tout retirer, je préfère ajouter une exception pour Acyba...
If anything can go wrong, it will.
https://www.conseilgouz.com/en

Mister Paul
Joomla! Intern
Joomla! Intern
Posts: 78
Joined: Tue Sep 30, 2008 12:29 pm

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by Mister Paul » Sun Sep 08, 2019 3:32 pm

Ah oui bien vu...
Comment fait-on ça ?

User avatar
pmleconte
Joomla! Explorer
Joomla! Explorer
Posts: 463
Joined: Fri Mar 17, 2017 12:55 pm
Location: France

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by pmleconte » Sun Sep 08, 2019 3:41 pm

C'est la ligne

Code: Select all

RewriteCond %{QUERY_STRING} !option=com_acym(.*)$ [NC]   # exception for Acyba
que j'ai ajoutée dans mon précédent message
Last edited by pmleconte on Sun Sep 08, 2019 3:43 pm, edited 1 time in total.
If anything can go wrong, it will.
https://www.conseilgouz.com/en

User avatar
pmleconte
Joomla! Explorer
Joomla! Explorer
Posts: 463
Joined: Fri Mar 17, 2017 12:55 pm
Location: France

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by pmleconte » Sun Sep 08, 2019 3:43 pm

Pour information, le %22 correspond à un double quote (double guillemet) et, dans la mesure où les informations passées sont des nombres, je ne vois pas l'utilité, mais, c'est un choix malheureux du développeur....

Pascal
If anything can go wrong, it will.
https://www.conseilgouz.com/en

User avatar
pmleconte
Joomla! Explorer
Joomla! Explorer
Posts: 463
Joined: Fri Mar 17, 2017 12:55 pm
Location: France

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by pmleconte » Sun Sep 08, 2019 3:47 pm

Je fais un petit mot à Acyba.

Pascal
If anything can go wrong, it will.
https://www.conseilgouz.com/en

Mister Paul
Joomla! Intern
Joomla! Intern
Posts: 78
Joined: Tue Sep 30, 2008 12:29 pm

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by Mister Paul » Sun Sep 08, 2019 3:54 pm

J'ai mis ta ligne juste après celle qui bloquait. Et bingo ça passe impec !
:D
Un GRAND Merci !

Oui globalement je les trouve "assez malheureux" sur cette version 6 pourtant accessible depuis plusieurs mois. Pas terrible de se retrouver associé au débugage (l'éditeur V6 a des soucis aussi).
Je gardais un excellent souvenir de l'utilisation d'AcyMailing avant, mais là...
Juste au moment du renouvellement de licence...

User avatar
pmleconte
Joomla! Explorer
Joomla! Explorer
Posts: 463
Joined: Fri Mar 17, 2017 12:55 pm
Location: France

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by pmleconte » Sun Sep 08, 2019 4:36 pm

La version 6 date de novembre 2018 et a apporté son lot d'amélioration. Sauf erreur de ma part, tout ou presque a été revu et réécrit.

Vue la taille du bébé, je pense qu'il est normal qu'il y ait quelques ratés.

Il y a de nombreuses mises à jour (mini une par mois) pour corriger les dysfonctionnements et améliorer le tout.

J'ai envoyé mon petit mot au support qui transmet aux développeurs.

Bonne continuation,

Pascal
If anything can go wrong, it will.
https://www.conseilgouz.com/en

Mister Paul
Joomla! Intern
Joomla! Intern
Posts: 78
Joined: Tue Sep 30, 2008 12:29 pm

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by Mister Paul » Sun Sep 08, 2019 4:40 pm

C'est vrai tu as raison d'être positif.
;-)

aeSecure, c'est toi ?

User avatar
pmleconte
Joomla! Explorer
Joomla! Explorer
Posts: 463
Joined: Fri Mar 17, 2017 12:55 pm
Location: France

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by pmleconte » Sun Sep 08, 2019 5:28 pm

Non, c'était Christophe Avonture (alias cavo987 sur le forum français) et il l'a donné à un de ses amis, mais, c'est une autre histoire.

Par contre, je l'utilise beaucoup car il bloque pas mal d'attaques sur mes sites (type SQL injection par exemple). J'ai supprimé hier les logs aesecure sur plusieurs sites, leurs contenus étaient éloquents.

Pascal
If anything can go wrong, it will.
https://www.conseilgouz.com/en

Acyba
Joomla! Fledgling
Joomla! Fledgling
Posts: 1
Joined: Mon Sep 09, 2019 8:46 am

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by Acyba » Mon Sep 09, 2019 8:52 am

Hello tous les deux,

Ah, eh bien nous avons plus d'informations quant à ce problème ;)

Effectivement, il semble qu'il y ait quelque chose que nous devons améliorer.
Nous allons jeter un coup d'oeil à tout cela et fixer ceci afin qu'AeSecure et d'autres composants ne lèvent plus d'erreurs.

Concernant notre avancée sur AcyMailing 6, effectivement, cela prend du temps.
Une refonte de 8 ans de développement ne se fait pas du jour au lendemain, pourtant, soyez sûrs qu'on est sur un rythme plus que soutenu!

Normalement d'ici 2 mois tout sera revenu à la normal et vous aurez un composant quasi parfait ;-)

Bonne journée à vous! 8)

User avatar
cavo789
Joomla! Intern
Joomla! Intern
Posts: 56
Joined: Fri Jun 05, 2009 12:16 pm
Location: Belgium
Contact:

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by cavo789 » Tue Sep 10, 2019 6:52 pm

Bonsoir

Fabuleux support ! Bravo Pascal et merci acyba !!!
Christophe (cavo789)
Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
Mes logiciels OpenSource : https://www.avonture.be

Mister Paul
Joomla! Intern
Joomla! Intern
Posts: 78
Joined: Tue Sep 30, 2008 12:29 pm

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by Mister Paul » Tue Sep 10, 2019 8:47 pm

Oui moi je dis surtout Merci Pascal !!!
Sans lui on serait au point mort...
;)

Et je te dis : Grand Merci Christophe pour aeSecure !!!
Généreux d'avoir rendu gratuit pour la communauté la version basique cet outil puissant

User avatar
sarki
Joomla! Explorer
Joomla! Explorer
Posts: 482
Joined: Mon Sep 19, 2005 2:34 pm
Location: Suisse
Contact:

Re: Tentative d'injections SQL : faux diagnostic d'aeSecure ?

Post by sarki » Wed Sep 11, 2019 9:20 pm

Hello,
Merci à tous et particulièrement à Pascal pour toutes ces infos, comme j'ai également mis aeSecure (salut Christophe) sur des sites que l'ont m'a demandé de récupérer après piratage et que je suis aussi utilisateur d'Acyba et d'AminTools je me sens également concerné ;)
French Joomla Translation & Support : www.joomla.fr
French JCE Translation & Support : www.sarki.ch/jce


Locked

Return to “3.x - Sécurité et performances”