Liste des vulnérabilités identifiés dans wikiwebhelp lors du développement

WikiAide?, est bsaé sur le logiciel wikiwebhelp, lors du développement, nous avons du procéder à un rehaussement de la sécurité du produit, ainsi plusieurs vulnérabilités ont été identifiés.

Vulnérabilité générale

Toute la sécurité était traiter du coté client, rien du coté serveur, ainsi il était possible de réaliser des fonctions d'administration sans en posséder les droits d'accès et contourner plusieurs règles de sécurité. L'ensemble des champs numériques étaient vulnérables a du SQL injection.

Pages spécifiques

• revert.php : XSS
• handlers/clearhistory.php : SQLi et pas de validation des permissions utilisateurs avant la surpression
• language.php : Le paramètre lang était pas filtré ce qui peut conduire à du "directory travarsal" en lien avec d'autres pages;
• plugins/ohloh-widget : Inclusion de fichier local ou distante