Faille : include et peit showsource !
Bonjour,
Je voulais savoir comment faire pour parait a ce type de hack :
Ce type de hack est essentiellement adresser aux sites qui permettent le upload de documents txt , car si le gars fait ca
<?php
show_source("connection.php");
?>
Il peut tout savoir sur mes identifiant de connections en execution ce script a distance !
Donc ya til un moyen de desactiver ou de faire un dossier totalement isoler qui ne permettra pas une execution ?
Merci de vos conseils,
Ciao,
I am singing in the rain , I am happy again !!
Aucune idee, il faudrais faire des test,
peut etre que les chmood peuvent regler le prob...
Essaye de te hacker et tu verra bien ^^
http://damienalexandre.fr/
les chmod sous free ne sont pas autorisés !
Ciao,
I am singing in the rain , I am happy again !!
encore mieux, sous free, le show_source n'est pas autorisé ^^
>> http://projectopensource.free.fr/index.php?m=2&m2=5&s=8 <<
de plus, un fichier txt n'est pas interprété comme du php, meme s'il en contient ;)
Donc il pourrait y avoir un soucis, si la personne pouvais uploader un fichier php ^^
>> http://projectopensource.free.fr/index.php?m=2&m2=5&s=8 <<
keitarosan g tester et ca affiche bien !
Donc g trouver pas trouver de solution !
Ciao,
I am singing in the rain , I am happy again !!
et le gars, comment il vas faire:
show_source('ton_fichier'); ?
>> http://projectopensource.free.fr/index.php?m=2&m2=5&s=8 <<
si il peut uploader sur mon site , d'ou l'interet d'un site ou tu peux envoyer des docs, meme avec des .txt le show_source fonctionne ! donc il voit l'index ensuite il remonte d'include en include juska retrouver le fichier ou sont stocker tous les passwords de connections et puis apres il fait ce qu'il veut !!!
Ciao,
I am singing in the rain , I am happy again !!
hummm
t'as pas un endroit ou me montrer ???
Parce que soit je suis fou (c'est possible
), soit on c'est pas compris ^^
T'inquiete pas, je remonterais pas jusqu'a tes password :D
>> http://projectopensource.free.fr/index.php?m=2&m2=5&s=8 <<
le 19/02/2005 à 16:52
Bzh
Ce que je ne comprends pas Lefounard c' est que les mecs uploads des fichiers textes ok !!!!
Mais, tu en fais koi de ces fichiers textes !!!!
Si tu ne fais que les affichers tu peux travailler le contenus par exemple en réécrivant tout le contenu du fichier après avoir utilisé la fonction htmlentities() et déja les <?php seront transformé...
Donc le contenue ne pourra plus être éxécuté...
Je sais pas si c' est éfficace à 100% mais c' est se que je ferai...
Bye...
