Hacking... - PHP - Programmation
Marsh Posté le 13-11-2003 à 11:07:56
Si ta page d'accueil est génerée dymaniquement a partir d'une BD, que cette meme BD est utilisée par le forum et que tes scripts ne sont pas sécurisés alors la reponse est oui.
Par exemple si tu as des failles qui permettent a un utilisateur d'executer des requetes sur ta BD il peut effectuer des update ou des insert pour modifier tes données et ainsi modifier le contenu de ta page d'accueil...
Marsh Posté le 13-11-2003 à 13:13:30
Ok, mais le soucis c'est que la page d'accueil n'est absolument pas générée par la BD. C'est une page HTML toute classique écrite en dur...qui n'est jamais modifiée...
Marsh Posté le 13-11-2003 à 13:28:37
newtitus a écrit : Ok, mais le soucis c'est que la page d'accueil n'est absolument pas générée par la BD. C'est une page HTML toute classique écrite en dur...qui n'est jamais modifiée... |
Donc soit le gars a le pass du ftp, soit il a pu ecrire quelque part du code php qui ouvre en écriture et modifie le fichier index.html
quoi d'autre...?
Marsh Posté le 13-11-2003 à 13:37:18
donne l'adresse de ton site qu'on voie les failles possibles
Marsh Posté le 13-11-2003 à 13:41:14
Vous donner l'adresse ne servirait à rien...j'ai tout zappé...Merci pour votre aide en tout cas...
Marsh Posté le 13-11-2003 à 13:43:15
si ya quand meme du php sur ton site a part la page dacueil, c ptet une faille include tout bete
Marsh Posté le 13-11-2003 à 13:43:41
faille include / xss / sql injection , je connais pas d'autres failles
Marsh Posté le 13-11-2003 à 13:59:59
Merci orazur, connais tu une adresse oiu je pourrais me documenter la dessus ?
Marsh Posté le 13-11-2003 à 14:04:55
newtitus a écrit : Merci orazur, connais tu une adresse oiu je pourrais me documenter la dessus ? |
http://www.google.com/search?hl=en [...] gle+Search
EDIT : un article qui doit etre pas mal (SitePoint oblige) =>
http://www.sitepoint.com/article/794
Marsh Posté le 13-11-2003 à 23:21:20
orazur a écrit : faille include / xss / sql injection , je connais pas d'autres failles |
Il y a aussi parfois des failles du à une faiblesse (ou une abscence) des controles sur les pages d'administrations.
Ne pas oublier aussi le coup des pages *.inc (ou autres fichiers envoyé au navigateur sans traitement) contenant tout les codes d'accés à la base de donnée qui sont donc lisible par tous ceux qui trouvent le fichier.
Marsh Posté le 13-11-2003 à 23:47:53
D'ailleurs j'ai jamais compris l'interêt de faire des .inc, mes librairies je les mets toujours en .php, et puis voila
Marsh Posté le 14-11-2003 à 00:05:07
Oui.. je me suis déja fait gentiment avoir avec un .inc !
Mais bon sur ce coup je reste sur ma faim, le gars (visiblement un brésilien : samba ! ) a gentiment supprimé ma page d'index en htm et l'a remplacé par son index en php...
Ce que je donnerais pas pour savoir comment il a fait ça...
Marsh Posté le 14-11-2003 à 00:08:01
Au fait, c'était quoi le nom du forum que t'avais mise? Il y avait peut être un trou de sécurité du type "include distant".
Marsh Posté le 14-11-2003 à 00:14:20
Bah je sais plus...je sais je les accumule...
il est relativement vieux, son developpement avait été stoppé.
Je le gardais car il m'offrait des options de modérations plus simple que le précédent...
En tout cas je suis incapable de vous donner un nom...
Marsh Posté le 14-11-2003 à 08:35:52
omega2 a écrit : Il y a aussi parfois des failles du à une faiblesse (ou une abscence) des controles sur les pages d'administrations. |
vi g oublié les coups de chance (assez rares quand meme)
Marsh Posté le 14-11-2003 à 14:31:20
Xam_Orpheus a écrit : C'est quoi les "include distant" ? |
include("http:// ...." );
En gros, t'inclus un script situé sur un autre serveur. Si on appelles ce fichier depuis un navigateur, on voit en clair le script qui sera inclus.
Ca arrive pour ceux qui ont un système de type index.php?mapage=untel.php sans vérification de la valeur de mapage ni positionnement des fichiers a partir d'un répertoire quelconque.
Du coup, si mapage commence par "http://" (ou certains autre protocoles d'ailleur), c'est pas un des scripts du site qui sera exécuté mais un situé ailleur sur le net.
Marsh Posté le 14-11-2003 à 14:51:54
Moui, mais comment pourrait t'on voir le code ? En passant par http, le code sera forcément exécuté sur le serveur distant, donc on obtiendra pas grand chose d'utile, enfin je pense
Marsh Posté le 14-11-2003 à 14:59:41
Si on appelle une page distante en .html , ca sera pas exécuté à ddistance.
Si on appelle une page distante en .php, rien ne dit que le résultat du traitement fait par le serveur distant ne sera pas un script php valide.
Et si on appelle un serveur distant, rien ne dit qu'il traite les script php.
Marsh Posté le 14-11-2003 à 15:36:06
omega2 a écrit : Si on appelle une page distante en .php, rien ne dit que le résultat du traitement fait par le serveur distant ne sera pas un script php valide. |
Ah oui ok, je viens de comprendre ! Merci
Marsh Posté le 15-11-2003 à 22:51:38
C'est intéressant toutes ces histoire de sécurité. Sécurisé un site c'est assez compliqué. Y a un truc basique qu'il faut toujours vérifier c'est le changement des variables passé en par un 'GET'. J'ai remarqué ca sur différents sites. Les gens ne pensent pas au petit malin qui s'amuserai à modifier les variable. Du coup le client peut tombé sur une page dont il ne devait pas avoir accès. Ou alors, il peut visualiser une erreur de requête. C'est d'ailleur de cet manière qu'un ami à réussi à aller dans l'admin d'un site. Il a eu l'adresse complète (adresse local au serveur) du fichier qui exécutait la requête. Et je ne sais + comment mais il est tombé sur l'admin, une petite manip et beaucoup de faille du coté admin (vérification de l'identité de l'administrateur uniquement sur la page d'accueil de l'admin).
Vous savez ou il y a de bon site relatant à la sécurité d'un code PHP?
Je trouve ca important, et y a plein de site qui ne font pas attention.
Marsh Posté le 13-11-2003 à 11:03:46
Bonjour,
Il m'est arrivé un petit soucis le week end dernier. En effet, je me suis fait hacké, en fait rien de bien méchant, la personne a uniquement changé ma page d'accueil.
ce qui m'amène à poster un message dans cette rubrique, c'est qu'un tierse personne m'a dit que cela avait pu être provoqué par le forum que j'ai mis en place. Cela me semble irréel, mais j'aurais bien aimé avoir l'avis de personnes compétetentes en PHP, à savoir est il possible de modifier une page d'accueil (en html) d'un site à travers un forum écrit en PHP ?
Merci pour vos réponses...