Tentative d'injections SQL : faux diagnostic d'aeSecure ? Topic is solved

[Mister Paul]

Bonjour,

j’ai un site protégé avec la version gratuite d’aeSecure.
Parallèlement j’utilise AcyMailing pour l’envoi de newsletters.
J’ai utilisé avec plaisir la V5 pendant longtemps.
J’ai installé la V6 pour que des non-codeurs puissent utiliser l’éditeur drag’n drop pour créer des campagnes. Par contre maintenant avec la V6 quand je souhaite, côté administrateur, visualiser la page où devraient être affichées les listes auxquelles seront envoyées la newsletter (il s’agit ici de consulter quelque chose de déjà enregistré), elles ne le sont pas car la requête est bloquée par aeSecure.

Le message d'erreur affichée par la console :

Failed to load ressource: the server responded with a status of 403 (Forbidden (aeSecure))

(je joins la copie d'écran de la console)

Si je clique sur le lien du message de la console : j’ai une page d'aeSecure avec le message :

Accès refusé.
Si vous pensez que c'est une erreur, merci de contacter le gestionnaire du site pour qu'il adapte le niveau de sécurité
Code : 682 - Tentative d'injections SQL

NB : l'ancienne version, la V5, ne pose pas de problème.

Le support d'AcyMailing me dit que ce n'est pas un bug de leur nouvelle version et que cela provient de aeSecure...

Qu’en est-il à votre avis ?


Merci pour l'aide
PAul

Capture-2019-09-03-14.52.33.jpg

[pmleconte]

Bonjour Mister Paul,

Je viens de faire un petit test (en local) avec la version 6.2.2 d'Acymailing et Aesecure, sans rencontrer votre problème.

En regardant dans le fichier htaccess généré par AeSecure, il y a une série de lignes vers la fin du fichier qui permet de bloquer les attaques habituelles sur les sites Joomla avec un petit commentaire :

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site then comment out the operations listed
# below by adding a # to the beginning of the line.
# This attempts to block the most common type of exploit `attempts` on Joomla!
#

Essayez de mettre en commentaire les lignes en question comme suggéré dans le commentaire pour voir quelle ligne peut provoquer votre problème.

Pascal

[Mister Paul]

Merci pour l'aide
mais malheureusement aucune de ces lignes commentées n'a modifié l'accès de la page...

[pmleconte]

Avez-vous regardé dans le fichier log d'AESecure ?

il est dans le répertoire aesecure/logs. Ce fichier donne en général la ligne ayant provoqué l'erreur et la raison de l'erreur.

Pascal

[Mister Paul]

Oui j'ai regardé aesecure_accessdenied.php (de ce que je vois activity.log ne donne que les actions que j'ai personnellement faites dans aeSecure)

La ligne qui correspondent au blocage d'AcyMailing dans aesecure_accessdenied.php :

"2019-09-08 16:51:08",78.XXX.44.155,"/administrator/index.php?option=com_acym&tmpl=component&fc2b3191db98dd4645399207993b5683=1&page=acymailing_lists&ctrl=lists&action=acymailing_router&noheader=1&task=setAjaxListing&listsPerPage=10&pagination_page_ajax=undefined&selectedLists=[%221%22,%222%22,%223%22,%224%22,%226%22,%227%22,%228%22,%229%22,%2210%22,%2211%22,%2212%22,%2213%22]&alreadyLists=undefined&show_selected=false&search_lists=&needDisplaySub=1&nonActive=1",682,"Tentative d'injections SQL",,,"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.1.2 Safari/605.1.15",

J'ai supprimé au fur et à mesure des éléments de la chaîne refusée pour voir si ce qui pouvait bloquer, mais je n'ai pas eu de résultat probant.
Je vais réessayer-là des fois que...

[pmleconte]

En regardant un peu plus en détail la ligne de commandes Acyba, elle contient des %22, des [

Cela est interprété par aesecure comme une tentative d'injections SQL.

Pour faire passer, il faut modifier le fichier .htaccess dans la section Block injection tentatives pour lui dire d'ignorer les erreurs Acyba (avec le risque d'ouvrir une brèche...):

Code: Select all

 # Block SQL injection tentatives
 # Block f.i. http://yoursite/index.php?%3CDROP%20TABLE%20jos_users%3E
 RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%25|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|declare|drop|update|md5|benchmark).* [NC,OR]
 RewriteCond %{QUERY_STRING} ^.*(%20)?([(])?(union|select|insert|cast|declare|group_concat|drop|update|md5|benchmark)%20.* [NC,OR] 
 RewriteCond %{QUERY_STRING} ^.*(%20|\+)(AND|OR)(%20|\+).* [NC,OR] 
 RewriteCond %{QUERY_STRING} ^.*(%20|\+)ORDER(%20|\+).* [NC,OR] 
 RewriteCond %{QUERY_STRING} ^.*%201\=1.* [NC] 
 RewriteCond %{QUERY_STRING} !option=com_acym(.*)$ [NC]   # exception for Acyba
 RewriteRule .* /caps/aesecure/accessdenied.php?s=682 [L]

Pascal

[pmleconte]

...
Le support d'AcyMailing me dit que ce n'est pas un bug de leur nouvelle version et que cela provient de aeSecure...
...

C'est lié à la façon pas très orthodoxe de passer une série de paramètres. Cela a dérangé AESecure, mais, je pense que cela peut provoquer le même problème sur d'autres outils de sécurisation tels que Akeeba AdminTools ou tout autre "générateur" de fichier htaccess.

Pascal

[Mister Paul]

Finalement c'est cette partie de la chaîne qui bloque "&show_selected=false" car si je l'enlève ça passe (= je n'arrive pas sur la page de blocage d'aeSecure)
Mettre true, ne rien mettre comme valeur ou déplacer cet élément en bout de chaîne ne fonctionne pas :
il faut l'enlever pour ne plus être bloqué.

Oui, dans le fichier .htaccess, dans la partie # Block SQL injection, si je commente cette ligne, la requête passe :

Code: Select all

RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%25|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|declare|drop|update|md5|benchmark).* [NC,OR]

Effectivement c'est une ligne avec %22

[pmleconte]

On est bien sur les mêmes lignes, mais, plutôt que tout retirer, je préfère ajouter une exception pour Acyba...

[Mister Paul]

Ah oui bien vu...
Comment fait-on ça ?

[pmleconte]

C'est la ligne

Code: Select all

RewriteCond %{QUERY_STRING} !option=com_acym(.*)$ [NC]   # exception for Acyba

que j'ai ajoutée dans mon précédent message

[pmleconte]

Pour information, le %22 correspond à un double quote (double guillemet) et, dans la mesure où les informations passées sont des nombres, je ne vois pas l'utilité, mais, c'est un choix malheureux du développeur....

Pascal

[pmleconte]

Je fais un petit mot à Acyba.

Pascal

[Mister Paul]

J'ai mis ta ligne juste après celle qui bloquait. Et bingo ça passe impec !

Un GRAND Merci !

Oui globalement je les trouve "assez malheureux" sur cette version 6 pourtant accessible depuis plusieurs mois. Pas terrible de se retrouver associé au débugage (l'éditeur V6 a des soucis aussi).
Je gardais un excellent souvenir de l'utilisation d'AcyMailing avant, mais là...
Juste au moment du renouvellement de licence...

[pmleconte]

La version 6 date de novembre 2018 et a apporté son lot d'amélioration. Sauf erreur de ma part, tout ou presque a été revu et réécrit.

Vue la taille du bébé, je pense qu'il est normal qu'il y ait quelques ratés.

Il y a de nombreuses mises à jour (mini une par mois) pour corriger les dysfonctionnements et améliorer le tout.

J'ai envoyé mon petit mot au support qui transmet aux développeurs.

Bonne continuation,

Pascal

[Mister Paul]

C'est vrai tu as raison d'être positif.
;-)

aeSecure, c'est toi ?

[pmleconte]

Non, c'était Christophe Avonture (alias cavo987 sur le forum français) et il l'a donné à un de ses amis, mais, c'est une autre histoire.

Par contre, je l'utilise beaucoup car il bloque pas mal d'attaques sur mes sites (type SQL injection par exemple). J'ai supprimé hier les logs aesecure sur plusieurs sites, leurs contenus étaient éloquents.

Pascal

[Acyba]

Hello tous les deux,

Ah, eh bien nous avons plus d'informations quant à ce problème

Effectivement, il semble qu'il y ait quelque chose que nous devons améliorer.
Nous allons jeter un coup d'oeil à tout cela et fixer ceci afin qu'AeSecure et d'autres composants ne lèvent plus d'erreurs.

Concernant notre avancée sur AcyMailing 6, effectivement, cela prend du temps.
Une refonte de 8 ans de développement ne se fait pas du jour au lendemain, pourtant, soyez sûrs qu'on est sur un rythme plus que soutenu!

Normalement d'ici 2 mois tout sera revenu à la normal et vous aurez un composant quasi parfait ;-)

Bonne journée à vous!

[cavo789]

Bonsoir

Fabuleux support ! Bravo Pascal et merci acyba !!!

[Mister Paul]

Oui moi je dis surtout Merci Pascal !!!
Sans lui on serait au point mort...


Et je te dis : Grand Merci Christophe pour aeSecure !!!
Généreux d'avoir rendu gratuit pour la communauté la version basique cet outil puissant

[sarki]

Hello,
Merci à tous et particulièrement à Pascal pour toutes ces infos, comme j'ai également mis aeSecure (salut Christophe) sur des sites que l'ont m'a demandé de récupérer après piratage et que je suis aussi utilisateur d'Acyba et d'AminTools je me sens également concerné