Je n'avais pas pris soin de regarder ce matin sur le site de BlogEngine.Net, mais une patch de sécurité à été publié le 14 Avril dernier, ce afin de contrer le problème que j'ai pu rencontrer ce matin.

Le link pour l'informations sur la patch : ICI 

Le link pour l'update de la version 1.3.0.0 vers la version 1.3.1.0 : ICI

Ça c'est l'image que j'ai vu ce matin, en allant sur la page d'accueil de mon site Internet. J'avais bel et bien remarqué que les statistiques de mon site Internet avaient baisées depuis vendredi soir, mais rien d'alarmant, les statistiques je m'en fiche un peu.

Me grattant la tête, je me posait bien la question, POURQUOI ? et COMMENT ? En fait, comment il à fait ? Par contre la première des choses fut de me logger sur mon serveur et d'aller vérifier s'il y avait pas plus de dégàt qu'une simplement page d'accueil modifiée. J'ai pu constater que l'attaque du pirate consistait à la modification de ma page d'acceuil. Rien de plus, mais c'est déjà beaucoup ! J'ai une faille de sécurité, j'en ai eu la preuve dans face à matin !

Après quelques recherche sur google.com sur le ti-gars "3M1RR", j'ai pu trouver que le hacker en question utiliserait une faille dans le système de BlogEngine.net pour y ajouter des posts. En revanche, dans mon cas, ce fut une altération de la page d'acceuil. J'ai pu aussi trouver d'autres blogues et site Internet ayant été piraté à la même date que moi, soit le 25 Avril 2008. J'imagine que j'aurai des statistiques à fournir dans les prochains jours sur le nombre de site Internet qui fut piratés par ce hacker. Déjà en regardant sur Zone-H.com, ça commence a sortir... 

Sinon à propos des Turkish Defeacer, voici des articles que j'ai pu trouver.

Comme Jean Guilbault l'a mentionnée dans un article du 30 Octobre 2006 sur letelegramme.com: 

"Attention aux pirates turcs ! Ceux-là n'attaquent pas les bateaux mais le Web français. En effet, mécontents de la proposition de loi française visant à punir toute négation du génocide arménien et adoptée en premièren lecture par les députés le 12 octobre, ceux qui se font appeler les Turkish Defacer frappent au hasard, paralysant des centaines de sites en détournant leur adresse, en détruisant des informations ou en envoyant soit des messages explicites en plusieurs langues, soit des images violentes. Preuve que tout le monde peut être touché : le site du Baud football club, dans le Morbihan, est la cible d'attaques répétées depuis plusieurs jours.

Il ne reste plus qu'à espérer que ce blog soit épargné !"

J'ai pu constater que l'un des Turkish Defeacer, nommé iSKORPiTX aurait été à l'origine "The Biggest Hacking Incident In The Web-hosting History", via l'article du 16 Mai 2006, d'Éric Ludow sur le site linuxsecurity.com: 

"Yesterday the Turkish cracker going by the handle "Iskorpitx", succesfully hacked 21,549 websites in one shot (plus 17,000 as our last update) and defaced (on a secondary page) all of them with a message showing the Turkish flag (with AtaTurk face on it) and reporting: HACKED BY iSKORPiTX (TURKISH HACKER) ..."

Iskorpitx controversial defacing activity started back in year 2003 being the first Turkish defacer ever. His defacing frenzy led him soon to reach the "incredible" number of more than 117,000 hacked websites some of them being even government websites of his own country. In this last incident, it is not clear at which level the intrusion was performed a(root or webserver) as the fact that all the 21,549 websites got defaced on a secondary page (site.com/ssfm/isko.htm) it is not indicative given the particular Iskorpitx's modus operandi that sees all of his hacks performed creating a subpage, regardless the authorization level achieved on the attacked servers."

 

 

Un autre article plus intéressant publié par Roberto Preatoni, le 18 Mai 2006.

Ces certains que mes prochains jours vont être concentré à la sécurisation de mon site, et surtout à une revue de code du projet Open Source de BlogEngine.Net... il fait trop beau... cr#(*# !!!! 

Voilà, j'ai pris le temps de remplacer le moteur de Blog que j'avais moi-même développé l'an dernier, par BlogEngine.Net.

BlogEngine.Net est un projet Open Source disponible sur CodePlex et a été conçu sur le .Net Framework. Étant un projet OpenSource, il est possible d'obtenir les sources du projet. Très honnêtement, ce fut très facile d'installer le tout sur mon Serveur Web. Environ 10 minutes à partir du moment que j'ai cliqué sur le liens pour télécharger le package d'installation, de dé-zipper le tout dans mon répertoire web et de par la suite migrer mes blogues vers la nouvelles base de données de BlogEngine.Net. Franchement, très simple...

Ma motivation étant de sauver du temps, puisque je n'ai plus le temps pour mettre à jours mon développement de mon propre moteur, et surtout de développer des fonctionnalitées déjà existante dans des produits gratuit, stable et largement utilisé... Pourquoi refaire ce qui existent déjà, qui fonctionnent bien... et surtout qui permet d'obtenir des mises à jours sur des problèmes potentiel ?

En revanche, il y à des extentions disponible pour le portail de BlogEngine.Net, et il est évidemment possible d'en développer... si besoin est... pourquoi pas ?

Pour les Extentions: ICI 

Pour le links vers le site de BlogEngine.Net: ICI 

À venir, la migration de mes photos et vidéos sur le portail. 

NUnitAsp is a tool for automatically testing ASP.NET web pages. It's an extension to NUnit, a tool for test-driven development in .NET.

Onceyou have an automated suite of tests, you'll never go back. It givesyou incredible confidence in your code. That confidence allows you tocode much faster, because you can make risky changes secure in theknowledge that your tests will catch any mistakes.

NUnitAspis for unit testing ASP.NET code-behind only. It's meant forprogrammers, not QA teams, and it's not very good for QA-styleacceptance tests. It only tests server-side logic. JavaScript and otherclient-side code is ignored. But if you're using ASP.NET, it's anessential part of your programmers' toolset.

NUnitAsp is freely available under the MIT license.

How It Works

NUnitAspis a class library for use within your NUnit tests. It provides NUnitwith the ability to download, parse, and manipulate ASP.NET web pages.

WithNUnitASP, your tests don't need to know how ASP.NET renders controlsinto HTML. Instead, you can rely on the NUnitASP library to do this foryou, keeping your test code simple and clean. For example, your testsdon't need to know that a DataGrid control renders as an HTML table.You can rely on NUnitASP to handle the details. This gives you thefreedom to focus on functionality questions, like whether the DataGridholds the expected values.

Simply speaking, NUnitAsp makes it very easy to unit test ASP.NET web pages.

[Test]
public void TestExample()
{
   // First, instantiate "Tester" objects:
   LabelTester label = new LabelTester("textLabel", CurrentWebForm);
   LinkButtonTester link = new LinkButtonTester("linkButton", CurrentWebForm);

   // Second, visit the page being tested:
   Browser.GetPage("http://localhost/example/example.aspx");

   // Third, use tester objects to test the page:
   AssertEquals("Not clicked.", label.Text);
   link.Click();
   AssertEquals("Clicked once.", label.Text);
   link.Click();
   AssertEquals("Clicked twice.", label.Text);
}

NUnitAsp can test complex web sites involving multiple pages and nestedcontrols. The common ASP.NET controls are supported (see complete listbelow), and support for additional controls is easy to add.

Latest Release: Version 1.5.1

Version1.5 includes a modest collection of improvements over version 1.4. Themost important new feature is improved custom tester support. We'veexposed a number of methods needed for writing custom testers and we'vecreated a new HtmlTag class that's easy to use and understand. Even ifyou aren't writing custom testers, you'll appreciate 1.5's improvederror reporting and API documentation. Particularly handy is the newability to report server-side ASP.NET exceptions directly within testfailure messages.

Version 1.5.1 is nearly identical to version 1.5. It requires NUnit 2.2 rather than NUnit 2.1. Download version 1.5.1 here, or take a look at the change log.

Controls supported in this release:

Credits and History

NUnitAspwas created by Brian Knowles as a simple way to read and manipulate webdocuments with NUnit. Jim Shore (known at the time as "Jim Little")took over the project shortly afterwards and refactored it to theTester-based approach used for the first release. Since then, more thana dozen people have contributed to the product. In November 2003, LeviKhatskevitch joined the team as "patch king" and brought new energy tothe project, leading to the long-anticipated release of version 1.4.

NUnitAspis downloaded hundreds of time every month and is mentioned on websites around the world. It needs your support to continue to grow andimprove! If there's a tester or other feature you can contribute, codeit up and send it to us. For more information, see the Contributions page.