Perl

Problème grave de sécurité !

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Problème grave de sécurité !

dexenium

Bonjour,

Mon site est construit autour d'un index.cgi
Si je tape
monsite/index.cgi?page=|cat%index.cgi|
le mot de passe de ma base de donnée sql s'affiche en clair...

Comment faire pour ne plus avoir ce problème et ne plus me faire hacker ?

Merci pour votre collaboration et à bientôt
Dex

Publicité

burgergold

5$? va chez l'diable!

de traiter ce parametre dans ton cgi...

---------------
http://www.boincstats.com/signature/user_664861.gif

dexenium

Merci Burgergold pour ta réponse.
Mon problème : c'est du Perl et je n'y connais rien
Traiter le paramètre dans le cgi, je fais comment ?
A+

burgergold

5$? va chez l'diable!

Code :

use CGI;
my $query = new CGI;
if ($query->param("page" ) =~ /|cat%.+|/) {
# Tu pourrais t'envoyer un courriel aussi pour être au courant de la tentative
die;
}

---------------
http://www.boincstats.com/signature/user_664861.gif

dexenium

Whahahahah j'imagine la tronche du mec ))

Merci Burgergol Champion !!!

dexenium

Mmmmm Burgergold ça marche pas j'ai une erreur 500...
Je ne sais pas trop où mettre ton code, voici le mien :
=====================================================
#!/usr/bin/perl

use CGI;
use DBI;
use LWP::Simple;
use URI::Escape;
unshift(@INC,"/home/machin/truc/cgi" );
require('xxx.pl');
require('yyy.pl');
$mailprog = "/usr/sbin/sendmail";
my $q=new CGI;
@param = $q->all_parameters();
foreach $valeur(@param){
$in{$valeur} = $q->param("$valeur" );
}
$|=1;
######
$database="bidule";
$hostname="truc";
$port="truc";
$data_source="DBI:mysql:$database:$hostname:$port";
$username="bidule";
$password="machin";
$dbh = DBI->connect($data_source, $username, $password) or print "Connection a la DB bidule impossible\n";
#####
=======================================================
Merci pour ton aide précieuse et bonne fin de journée,
Dex

burgergold

5$? va chez l'diable!

bon t'a deja le use CGI, t'a déjà ton objet de créé, donc apres ton foreach, fait un truc du genre

if ($in{"page"} =~ m/|cat%.+|/) {
die "pouette";
}

ya p-e un \ à ajouter avant les | ou le % si ca marche pas

---------------
http://www.boincstats.com/signature/user_664861.gif

pospos

#!/usr/bin/perl -T

http://gunther.web66.com/FAQS/taintmode.html

dexenium

Burgergold merci pour ta réponse ma page fonctionne correctement mais ton code ne corrige pas le problème j'ai toujours les infos sensibles qui s'affichent
Dex

kei-kun41

t'arrive a partir de page par un formulaire??
si c'est le cas essaye de mettre method=post et pas GET car GET affiche T infos dans l'url enfin j'suis pas sur entièrement

:sweat:

Publicité

burgergold

5$? va chez l'diable!

en perl les paramètres get et post son récupéré de la même facon, alors ca changera rien

FORUM HardWare.fr

Programmation

Perl

Problème grave de sécurité !

Sujets relatifs
Problème d'accent avec parseur XML en Perl	Probleme de synchronisation de bases MySQL: utiliser SQLyog ?
Probleme de quote	[ rave reports] Problème selection pages à imprimer
probleme	Mozilla => problème de largeur
[C] problème de types de données	probleme avec strtod en c
[ASP - SQL - DTS]Probleme d'execution DTS depuis page ASP	probleme pour texturer une planete en opengl
Plus de sujets relatifs à : Problème grave de sécurité !

Page générée en 0.074 secondes