[php] Faille de sécurité include()
7 messages • Page 1 sur 1
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
- [--Eric--]
- WRInaute impliqué
- Messages: 415
- Inscription: Mar Jan 06, 2004 10:48
[php] Faille de sécurité include()
le Mar Jan 04, 2005 11:12
Hello,
Je m'apperçois avec stupeur ce matin que j'ai contruis plein de page avec des bouts de code du style :
Bref je vous laisse imaginer l'angoisse
Si je remplace par :
On est bien d'accord qu'il n'y a plus de problème ?
Je m'apperçois avec stupeur ce matin que j'ai contruis plein de page avec des bouts de code du style :
- Code: Tout sélectionner
$adresse= "./chemin/".$page.".php";
include ($adresse);
Bref je vous laisse imaginer l'angoisse
Si je remplace par :
- Code: Tout sélectionner
include ("./chemin/".$page.".php");
On est bien d'accord qu'il n'y a plus de problème ?
- [--Eric--]
- WRInaute impliqué
- Messages: 415
- Inscription: Mar Jan 06, 2004 10:48
le Mar Jan 04, 2005 11:23
e-kiwi a écrit:je ne vois pas le rapport avec le sujet du post
alors pourquoi répondre ?
http://www.k-otik.com/news/20041226.PhpIncludeWorm.php
le Mar Jan 04, 2005 11:27
je connais bien cette faille, et je vois pas en quoi ta seconde methode est mieux que la premiere 
cette faille s adresse aux développeurs pas tres futés qui passent l url complete de la page à inclure en $_GET.
toi tu concatene une page a inclure en fonction d une variable donnée et un chemin relatif, tu ne sera donc pas touché par ces vers
------edition -------
il faut bien sur lire dans ma phrase que les dévelopepurs de phpBB n'ont pas choisi la meilleure facon pour coder leur appli, voir le nombre de failles dejà découverte a chaque nouvelle version
cette faille s adresse aux développeurs pas tres futés qui passent l url complete de la page à inclure en $_GET.
toi tu concatene une page a inclure en fonction d une variable donnée et un chemin relatif, tu ne sera donc pas touché par ces vers
------edition -------
il faut bien sur lire dans ma phrase que les dévelopepurs de phpBB n'ont pas choisi la meilleure facon pour coder leur appli, voir le nombre de failles dejà découverte a chaque nouvelle version
- [--Eric--]
- WRInaute impliqué
- Messages: 415
- Inscription: Mar Jan 06, 2004 10:48
le Mar Jan 04, 2005 11:36
Ooups désolé tu as raison.
Mais je te confirme que je ne suis pas très fûté...
J'ai des pages avec des
où je passe la variable $page dans l'url...
Donc dans ce cas - et dans l'urgence - je remplace par :
($page n'est que le nom du fichier)
J'ai juste ?
Mais je te confirme que je ne suis pas très fûté...
J'ai des pages avec des
- Code: Tout sélectionner
require $page;
où je passe la variable $page dans l'url...
Donc dans ce cas - et dans l'urgence - je remplace par :
($page n'est que le nom du fichier)
- Code: Tout sélectionner
require ("http://monadresse.com/chemin/".$page);
J'ai juste ?
le Mar Jan 04, 2005 12:44
Bonjour glouf,
Un virus se promène actuellement en exploitant cette faille en php.
Avec un chemin en dur c'est beaucoup mieux.
Un virus se promène actuellement en exploitant cette faille en php.
le Mar Jan 04, 2005 13:20
oui fais plutot un $_SERVER['HTTP_RACINE'] ou $_SERVER['DOCUMENT_ROOT'] (ca depend du serveur) , tu recevra quelquechose du genre /home/~compte/ que tu met dans $racine
et tu te sert de ca pour faire les include ($racine ."/". $chemin.".php")
ps : désolé pour le terme "futé", je te visais pas particulierement, mais plutot un groupe de développeurs connus ^^)
et tu te sert de ca pour faire les include ($racine ."/". $chemin.".php")
ps : désolé pour le terme "futé", je te visais pas particulierement, mais plutot un groupe de développeurs connus ^^)
7 messages • Page 1 sur 1
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par Julien Coquet, expert certifié officiellement par Google Analytics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- 1ère faille de sécurité découverte sur Google Chrome
- Faille de sécurité dans la Google Toolbar
- Nouvelle faille qui touche de nombreux services de Google
- Google rachète Postini, spécialiste de la sécurité Internet
- Google ouvre un blog sur la sécurité informatique en ligne
- Les statistiques de Google Sitemaps
- Google Toolbar v3 : AutoLink, WordTranslator et SpellCheck
- Concours WRI / Vivastreet : gagnez un voyage à New-York
- Gokul Rajaram, spécialiste de la publicité en ligne, quitte Google
- Google Secure Access (GSA)
- [php] Avis sur la sécurité de mon code (include)
- Faille de securité Adword!!!!!!!
- [RESOLU] Faille de sécurité PHPBB
- Faille de sécurité sur Adsense ???
- Faille de securite chez Google
- Faille securite sur spip
- Faille de sécurité IE6 XP SP1
- Faille de sécurité dans SPIP v<1.7
- multi-ftp d'ovh = faille de sécurité?
- Faille de sécurité Apache découverte, m-à-j à appliquer.
- Faille de sécurité sur Google Desktop
- Marque blanche, include et sécurité
- fichier.php.txt est éxécuté... faille ?
- Incroyable mais vrai -> Un nouvelle faille pour php ?
- Sécurité php
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
- Index du forum
- L’équipe du forum • Supprimer les cookies du forum • Heures au format UTC + 1 heure
- Flux RSS de WebRankInfo :
le forum- les articles des dossiers
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
, traduction par phpBB-fr.com, mod SEO par phpbb-seo.com
Contact
Confidentialité