Faille : include et peit showsource !

Répondre
Lefounard
le 19/02/2005 à 00:49
Lefounard
Bonjour,
Je voulais savoir comment faire pour parait a ce type de hack :
Ce type de hack est essentiellement adresser aux sites qui permettent le upload de documents txt , car si le gars fait ca
<?php
show_source("connection.php");
?>

Il peut tout savoir sur mes identifiant de connections en execution ce script a distance !
Donc ya til un moyen de desactiver ou de faire un dossier totalement isoler qui ne permettra pas une execution ?
Merci de vos conseils,
Ciao,
I am singing in the rain , I am happy again !!
mobman02
le 19/02/2005 à 10:34
mobman02
Aucune idee, il faudrais faire des test,
peut etre que les chmood peuvent regler le prob...

Essaye de te hacker et tu verra bien ^^
http://damienalexandre.fr/
Lefounard
le 19/02/2005 à 12:18
Lefounard
les chmod sous free ne sont pas autorisés !
Ciao,
I am singing in the rain , I am happy again !!
keitarosan
le 19/02/2005 à 12:29
keitarosan
encore mieux, sous free, le show_source n'est pas autorisé ^^
>> http://projectopensource.free.fr/index.php?m=2&m2=5&s=8 <<
keitarosan
le 19/02/2005 à 12:30
keitarosan
de plus, un fichier txt n'est pas interprété comme du php, meme s'il en contient ;)

Donc il pourrait y avoir un soucis, si la personne pouvais uploader un fichier php ^^
>> http://projectopensource.free.fr/index.php?m=2&m2=5&s=8 <<
Lefounard
le 19/02/2005 à 12:54
Lefounard
keitarosan g tester et ca affiche bien !
Donc g trouver pas trouver de solution !

Ciao,
I am singing in the rain , I am happy again !!
keitarosan
le 19/02/2005 à 13:52
keitarosan
et le gars, comment il vas faire:

show_source('ton_fichier'); ?
>> http://projectopensource.free.fr/index.php?m=2&m2=5&s=8 <<
Lefounard
le 19/02/2005 à 14:27
Lefounard
si il peut uploader sur mon site , d'ou l'interet d'un site ou tu peux envoyer des docs, meme avec des .txt le show_source fonctionne ! donc il voit l'index ensuite il remonte d'include en include juska retrouver le fichier ou sont stocker tous les passwords de connections et puis apres il fait ce qu'il veut !!!
Ciao,
I am singing in the rain , I am happy again !!
keitarosan
le 19/02/2005 à 15:02
keitarosan
hummm

t'as pas un endroit ou me montrer ???

Parce que soit je suis fou (c'est possible smiley), soit on c'est pas compris ^^

T'inquiete pas, je remonterais pas jusqu'a tes password :D
>> http://projectopensource.free.fr/index.php?m=2&m2=5&s=8 <<
Bzh
le 19/02/2005 à 16:52
Bzh
Ce que je ne comprends pas Lefounard c' est que les mecs uploads des fichiers textes ok !!!!

Mais, tu en fais koi de ces fichiers textes !!!!

Si tu ne fais que les affichers tu peux travailler le contenus par exemple en réécrivant tout le contenu du fichier après avoir utilisé la fonction htmlentities() et déja les <?php seront transformé...

Donc le contenue ne pourra plus être éxécuté...

Je sais pas si c' est éfficace à 100% mais c' est se que je ferai...

Bye...
Répondre
LoadingChargement en cours