Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1640 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Hacking...

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Hacking...

n°565652
newtitus
Yeah Babe !
Posté le 13-11-2003 à 11:03:46  profilanswer
 

Bonjour,
 
Il m'est arrivé un petit soucis le week end dernier. En effet, je me suis fait hacké, en fait rien de bien méchant, la personne a uniquement changé ma page d'accueil.
 
ce qui m'amène à poster un message dans cette rubrique, c'est qu'un tierse personne m'a dit que cela avait pu être provoqué par le forum que j'ai mis en place. Cela me semble irréel, mais j'aurais bien aimé avoir l'avis de personnes compétetentes en PHP, à savoir est il possible de modifier une page d'accueil (en html) d'un site à travers un forum écrit en PHP ?
 
Merci pour vos réponses...

mood
Publicité
Posté le 13-11-2003 à 11:03:46  profilanswer
 

n°565655
impulse
Posté le 13-11-2003 à 11:07:56  profilanswer
 

Si ta page d'accueil est génerée dymaniquement a partir d'une BD, que cette meme BD est utilisée par le forum et que tes scripts ne sont pas sécurisés alors la reponse est oui.
 
Par exemple si tu as des failles qui permettent a un utilisateur d'executer des requetes sur ta BD il peut effectuer des update ou des insert pour modifier tes données et ainsi modifier le contenu de ta page d'accueil...

n°565766
newtitus
Yeah Babe !
Posté le 13-11-2003 à 13:13:30  profilanswer
 

Ok, mais le soucis c'est que la page d'accueil n'est absolument pas générée par la BD. C'est une page HTML toute classique écrite en dur...qui n'est jamais modifiée...

n°565770
aspegic500​mg
Posté le 13-11-2003 à 13:28:37  profilanswer
 

newtitus a écrit :

Ok, mais le soucis c'est que la page d'accueil n'est absolument pas générée par la BD. C'est une page HTML toute classique écrite en dur...qui n'est jamais modifiée...


 
Donc soit le gars a le pass du ftp, soit il a pu ecrire quelque part du code php qui ouvre en écriture et modifie le fichier index.html :)  
 
quoi d'autre...? :??:

n°565779
orazur
Posté le 13-11-2003 à 13:37:18  profilanswer
 

donne l'adresse de ton site qu'on voie les failles possibles

n°565782
newtitus
Yeah Babe !
Posté le 13-11-2003 à 13:41:14  profilanswer
 

Vous donner l'adresse ne servirait à rien...j'ai tout zappé...Merci pour votre aide en tout cas...

n°565784
orazur
Posté le 13-11-2003 à 13:43:15  profilanswer
 

si ya quand meme du php sur ton site a part la page dacueil, c ptet une faille include tout bete

n°565785
orazur
Posté le 13-11-2003 à 13:43:41  profilanswer
 

faille include / xss / sql injection , je connais pas d'autres failles

n°565805
newtitus
Yeah Babe !
Posté le 13-11-2003 à 13:59:59  profilanswer
 

Merci orazur, connais tu une adresse oiu je pourrais me documenter la dessus ?

n°565814
impulse
Posté le 13-11-2003 à 14:04:55  profilanswer
 

newtitus a écrit :

Merci orazur, connais tu une adresse oiu je pourrais me documenter la dessus ?


 
http://www.google.com/search?hl=en [...] gle+Search
 
:sarcastic:
 
EDIT : un article qui doit etre pas mal (SitePoint oblige) =>
http://www.sitepoint.com/article/794


Message édité par impulse le 13-11-2003 à 14:06:00
mood
Publicité
Posté le 13-11-2003 à 14:04:55  profilanswer
 

n°565841
newtitus
Yeah Babe !
Posté le 13-11-2003 à 14:22:34  profilanswer
 

Ok merci pour tout

n°566223
omega2
Posté le 13-11-2003 à 23:21:20  profilanswer
 

orazur a écrit :

faille include / xss / sql injection , je connais pas d'autres failles

Il y a aussi parfois des failles du à une faiblesse (ou une abscence) des controles sur les pages d'administrations.
Ne pas oublier aussi le coup des pages *.inc (ou autres fichiers envoyé au navigateur sans traitement) contenant tout les codes d'accés à la base de donnée qui sont donc lisible par tous ceux qui trouvent le fichier. ;)

n°566268
xam_orpheu​s
Posté le 13-11-2003 à 23:47:53  profilanswer
 

D'ailleurs j'ai jamais compris l'interêt de faire des .inc, mes librairies je les mets toujours en .php, et puis voila :)

n°566318
newtitus
Yeah Babe !
Posté le 14-11-2003 à 00:05:07  profilanswer
 

Oui.. :) je me suis déja fait gentiment avoir avec un .inc !  
 
Mais bon sur ce coup je reste sur ma faim, le gars (visiblement un brésilien : samba ! ) a gentiment supprimé ma page d'index en htm et l'a remplacé par son index en php...
 
Ce que je donnerais pas pour savoir comment il a fait ça...

n°566324
omega2
Posté le 14-11-2003 à 00:08:01  profilanswer
 

Au fait, c'était quoi le nom du forum que t'avais mise? Il y avait peut être un trou de sécurité du type "include distant".

n°566341
newtitus
Yeah Babe !
Posté le 14-11-2003 à 00:14:20  profilanswer
 

Bah je sais plus...je sais je les accumule...
 
il est relativement vieux, son developpement avait été stoppé.  
 
Je le gardais car il m'offrait des options de modérations plus simple que le précédent...
 
En tout cas je suis incapable de vous donner un nom...
 

n°566352
xam_orpheu​s
Posté le 14-11-2003 à 00:19:39  profilanswer
 

C'est quoi les "include distant" ?

n°566406
KdZ'
Simple®
Posté le 14-11-2003 à 06:25:55  profilanswer
 

Ba met plutot Phorum, a mon avis, il va te plaire ;)
+

n°566426
orazur
Posté le 14-11-2003 à 08:35:52  profilanswer
 

omega2 a écrit :

Il y a aussi parfois des failles du à une faiblesse (ou une abscence) des controles sur les pages d'administrations.
Ne pas oublier aussi le coup des pages *.inc (ou autres fichiers envoyé au navigateur sans traitement) contenant tout les codes d'accés à la base de donnée qui sont donc lisible par tous ceux qui trouvent le fichier. ;)


 
vi g oublié les coups de chance (assez rares quand meme) ;)

n°566724
omega2
Posté le 14-11-2003 à 14:31:20  profilanswer
 

Xam_Orpheus a écrit :

C'est quoi les "include distant" ?

include("http:// ...." );
En gros, t'inclus un script situé sur un autre serveur. Si on appelles ce fichier depuis un navigateur, on voit en clair le script qui sera inclus. ;)
Ca arrive pour ceux qui ont un système de type index.php?mapage=untel.php sans vérification de la valeur de mapage ni positionnement des fichiers a partir d'un répertoire quelconque.
Du coup, si mapage commence par "http://" (ou certains autre protocoles d'ailleur), c'est pas un des scripts du site qui sera exécuté mais un situé ailleur sur le net. ;)

n°566755
xam_orpheu​s
Posté le 14-11-2003 à 14:51:54  profilanswer
 

Moui, mais comment pourrait t'on voir le code ? En passant par http, le code sera forcément exécuté sur le serveur distant, donc on obtiendra pas grand chose d'utile, enfin je pense :??:

n°566761
omega2
Posté le 14-11-2003 à 14:59:41  profilanswer
 

Si on appelle une page distante en .html , ca sera pas exécuté à ddistance.
Si on appelle une page distante en .php, rien ne dit que le résultat du traitement fait par le serveur distant ne sera pas un script php valide. ;)  
Et si on appelle un serveur distant, rien ne dit qu'il traite les script php. ;)

n°566804
xam_orpheu​s
Posté le 14-11-2003 à 15:36:06  profilanswer
 

omega2 a écrit :

Si on appelle une page distante en .php, rien ne dit que le résultat du traitement fait par le serveur distant ne sera pas un script php valide. ;)  
Et si on appelle un serveur distant, rien ne dit qu'il traite les script php. ;)


 
Ah oui ok, je viens de comprendre ! Merci :)

n°567813
Spir
Words are timeless
Posté le 15-11-2003 à 22:51:38  profilanswer
 

C'est intéressant toutes ces histoire de sécurité. Sécurisé un site c'est assez compliqué. Y a un truc basique qu'il faut toujours vérifier c'est le changement des variables passé en par un 'GET'. J'ai remarqué ca sur différents sites. Les gens ne pensent pas au petit malin qui s'amuserai à modifier les variable. Du coup le client peut tombé sur une page dont il ne devait pas avoir accès. Ou alors, il peut visualiser une erreur de requête. C'est d'ailleur de cet manière qu'un ami à réussi à aller dans l'admin d'un site. Il a eu l'adresse complète (adresse local au serveur) du fichier qui exécutait la requête. Et je ne sais + comment mais il est tombé sur l'admin, une petite manip et beaucoup de faille du coté admin (vérification de l'identité de l'administrateur uniquement sur la page d'accueil de l'admin).
 
Vous savez ou il y a de bon site relatant à la sécurité d'un code PHP?
Je trouve ca important, et y a plein de site qui ne font pas attention.
 
http://www.danasoft.com/sig/sebas.jpg

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Hacking...

 

Sujets relatifs
Hacking et faille de sécurité MySQL, aidez-moi à me protéger.tester la securité contre le hacking sur un prog intranet + proxy
Plus de sujets relatifs à : Hacking...


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR