[PHP] sécurité
Fermé
ericpons
Messages postés
39
Date d'inscription
mercredi 21 mai 2003
Statut
Membre
Dernière intervention
1 avril 2005
-
7 juil. 2003 à 15:01
ericpons Messages postés 39 Date d'inscription mercredi 21 mai 2003 Statut Membre Dernière intervention 1 avril 2005 - 9 juil. 2003 à 10:25
ericpons Messages postés 39 Date d'inscription mercredi 21 mai 2003 Statut Membre Dernière intervention 1 avril 2005 - 9 juil. 2003 à 10:25
A voir également:
- [PHP] sécurité
- Mode securite - Guide
- Easy php - Télécharger - Divers Web & Internet
- Retour a la ligne php ✓ - Forum PHP
- Php natif - Forum PHP
- Désactiver sécurité windows - Guide
5 réponses
arthix
Messages postés
52
Date d'inscription
lundi 30 juin 2003
Statut
Membre
Dernière intervention
31 août 2006
5
7 juil. 2003 à 17:34
7 juil. 2003 à 17:34
Salut !
Je suis pas franchement pro en php, je bidouille les sessions, mais une grosse faille en php que j'ai "utilisée" dans mes premiers sites etait la suivante.
Tu as par exemple ta page index.php par laquelle tu passes tout le temps, pour n'importe quelle rubrique de ton site. En paramètre, tu passe par exemple un variable qui donne le répertoire dans lequel sont classés tes fichiers liés à la rubrique désirée, par exemple forum : http://www.monsite.com/index.php?forum et dans index.php, y'a par ex un include de forum/index.php !!! boum erreur, parceque ton répertoire d'administration, il s'appelle admin sans doute, ou administration, ou gestion ... bref, quelque soit son nom, quelque soient les restrictions faites sur le répertoire admin, php a le droit d'aller chercher ces fichiers.
Un utilisatuer malveillant peut donc taper index.php?admin et tomber sur l'index de ta page d'administration. PLus fort après, il peut se balader dans ton arborescence en passant en paramètre un répertoire .... bref, c une faille.
Le conseil, passer autre chose en paramètre, numéroter des rubriques et passer ces numéros en paramètre, c plus sûr.
G le clavier qui fume, j'arrête là pour aujourd'hui
A pluche !!
Je suis pas franchement pro en php, je bidouille les sessions, mais une grosse faille en php que j'ai "utilisée" dans mes premiers sites etait la suivante.
Tu as par exemple ta page index.php par laquelle tu passes tout le temps, pour n'importe quelle rubrique de ton site. En paramètre, tu passe par exemple un variable qui donne le répertoire dans lequel sont classés tes fichiers liés à la rubrique désirée, par exemple forum : http://www.monsite.com/index.php?forum et dans index.php, y'a par ex un include de forum/index.php !!! boum erreur, parceque ton répertoire d'administration, il s'appelle admin sans doute, ou administration, ou gestion ... bref, quelque soit son nom, quelque soient les restrictions faites sur le répertoire admin, php a le droit d'aller chercher ces fichiers.
Un utilisatuer malveillant peut donc taper index.php?admin et tomber sur l'index de ta page d'administration. PLus fort après, il peut se balader dans ton arborescence en passant en paramètre un répertoire .... bref, c une faille.
Le conseil, passer autre chose en paramètre, numéroter des rubriques et passer ces numéros en paramètre, c plus sûr.
G le clavier qui fume, j'arrête là pour aujourd'hui
A pluche !!
lagassat
Messages postés
527
Date d'inscription
jeudi 22 mai 2003
Statut
Membre
Dernière intervention
6 septembre 2004
80
7 juil. 2003 à 17:48
7 juil. 2003 à 17:48
salut,
Voici quelques failles de securite que notre ami fultama avait developpé. Je crois que deja avec ca, tu as de quoi faire.
Mais dis toi bien une chose, tous les langages de prog ou les outils servant aux NTIC ont des failles. Bien sur, il y en a des plus evidentes que les autres, mais il est quasiment impossible d'avoir u systeme securise à 100%.
La seule solution est de faire comme tu procedes en se documentant, afin d'éviter les failles les plus banales et permettre aux pirates en herbe de s'attaquer à toi...
Ciao
"2 choses sont infinies : l'univers et la betise humaine
bien que en ce qui concerne la 1ere je n'ai pas encore de certitude absolue"
Voici quelques failles de securite que notre ami fultama avait developpé. Je crois que deja avec ca, tu as de quoi faire.
Mais dis toi bien une chose, tous les langages de prog ou les outils servant aux NTIC ont des failles. Bien sur, il y en a des plus evidentes que les autres, mais il est quasiment impossible d'avoir u systeme securise à 100%.
La seule solution est de faire comme tu procedes en se documentant, afin d'éviter les failles les plus banales et permettre aux pirates en herbe de s'attaquer à toi...
Ciao
"2 choses sont infinies : l'univers et la betise humaine
bien que en ce qui concerne la 1ere je n'ai pas encore de certitude absolue"
lagassat
Messages postés
527
Date d'inscription
jeudi 22 mai 2003
Statut
Membre
Dernière intervention
6 septembre 2004
80
7 juil. 2003 à 17:50
7 juil. 2003 à 17:50
oups g oublié le lien :$
http://www.commentcamarche.net/forum/affich.php3?cat=0&ID=306507&page=1
Voilà :-)
"2 choses sont infinies : l'univers et la betise humaine
bien que en ce qui concerne la 1ere je n'ai pas encore de certitude absolue"
http://www.commentcamarche.net/forum/affich.php3?cat=0&ID=306507&page=1
Voilà :-)
"2 choses sont infinies : l'univers et la betise humaine
bien que en ce qui concerne la 1ere je n'ai pas encore de certitude absolue"
batmat
Messages postés
1871
Date d'inscription
jeudi 1 novembre 2001
Statut
Membre
Dernière intervention
9 janvier 2008
114
7 juil. 2003 à 18:27
7 juil. 2003 à 18:27
Chose importante : interdire dans tous les cas le listing d'un répertoire...
Méthode propre : le dire à apache.
Méthode bourrin et pas très propre : mettre un fichier index.php (ou .html d'ailleurs) dans chaque répertoire qui contient le message d'erreur...
@++
Vous hésitez entre Linux et Windows ?
Vous voulez dépenser du temps ou de l'argent ?
Méthode propre : le dire à apache.
Méthode bourrin et pas très propre : mettre un fichier index.php (ou .html d'ailleurs) dans chaque répertoire qui contient le message d'erreur...
@++
Vous hésitez entre Linux et Windows ?
Vous voulez dépenser du temps ou de l'argent ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ericpons
Messages postés
39
Date d'inscription
mercredi 21 mai 2003
Statut
Membre
Dernière intervention
1 avril 2005
15
9 juil. 2003 à 10:25
9 juil. 2003 à 10:25
Je note, je note...
Effectivement, je ne recherche pas le site infaillible, juste "les grosses erreurs bêtes à éviter"...
Merci,
Eric.
Effectivement, je ne recherche pas le site infaillible, juste "les grosses erreurs bêtes à éviter"...
Merci,
Eric.
