 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : PHP et sécurité | |
| electroger | Je suis bien d'accord ce forum est génial! Pas seulment en prog d'ailleurs puis que en hardware ils sont solides aussi.
Moi j'ai commencé dans la partie hardware, puis log, puis prog, et franchment c'est genial. L'avantage, c'est égalment le nbre de perso qui tourne sur ce forum, t'es presque sûr que quelqu'un pourra t'aider et assez rapidement en regle générale. |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| electroger | Je suis bien d'accord ce forum est génial! Pas seulment en prog d'ailleurs puis que en hardware ils sont solides aussi.
Moi j'ai commencé dans la partie hardware, puis log, puis prog, et franchment c'est genial. L'avantage, c'est égalment le nbre de perso qui tourne sur ce forum, t'es presque sûr que quelqu'un pourra t'aider et assez rapidement en regle générale. |
| Vadrigar | Bah moi chui nouveau aussi ici, je suis arrivé en meme temps que toi. Apres avoir fait pas mal de forum, je trouve que celui ci n'a rien a voir, pas de dispute debile ou les membre font jouer leur repartie, impek :bounce: |
| electroger | Bon, si tout est Ok, c'est cool! Je vais pas tarder a mettre mon site sur le net. Ca fait depuis le mois de mai que je bosse dessus, je vous filerais l'url.
En tout cas MERCI a vous tous pour votre aide, je suis a chaque fois surpris par ceux qui sur hardware.fr, sont près à aider les newbies, tout en sachant qu'il peut probable que ces meme newbies les aide en retour. :) Alors MERCI BEAUCOUP! |
| Vadrigar | Ton phorum phpBB2 risque rien si c'est la version finale, la version RC2 a une faille de securité. |
| electroger | Donc le site c'est bon, phpBB2 c'est ok aussi. Je vais ajouter un compteur de dl sur mon site (vous l'avez peut remarqué y a un autre post de moi sur ce forum) je vais prendre un script de phpdebutant (ça me convient bien je pense :D ) ça risque rien? (ça c'est un script tout fait). |
| ethernal | phpbb2 non ça se saurait.
c qd tu installes des scripts tout fait que tu peux mettre en danger tout le site --> faut regarder toutes les sources à la recherche d'include ou d'uploads |
| electroger | C'est bon? C'est pas hackable? :) Si c'est le cas c'est cool et ça veut dire que j'ai fait le bon choix quand j'ai choisi le script! (eheh je sais pas du tout programmer mais je fais les bon choix!! :) ) Autrement pour le phpBB2 y a pas de risques? |
| ethernal | exact :)
http://www.php.net/manual/en/function.file-exists.php
|
| electroger | Ben en testant ta page je tombe encore sur le 404.
a noter : le site n'est pas encore sur le net (d'ou le localhost) je le lis avec un serveur Apache. Alors t'en pense koi? Tu pense toujours que c'est hackable? |
| ethernal |
|
| electroger | Moi mon include centrale est du type :
<? //////////////////////////////////////////////// // ----- PARTIE CENTRALE DYNAMIQUE ------------- if (!isset($page_centre)) $page_centre="accueil"; if (!isset($rep_rubrique)) $rep_rubrique=""; else { $rep_rubrique.="/"; } if (file_exists("$rep_rubrique$page_centre.php3" )) { include ("$rep_rubrique$page_centre.php3" ); } else { include ("404.html" ); } // --------------------------------------------- //////////////////////////////////////////////// ?> Les conditions sont gérées de facon assez bizard, cad que chaque page n'a pas de condition, mais est gerée de facon générique par le script (putain, meme moi, je peux faire des phrases complexe... :D ) J'ai fait un petit test : par exemple pour accedez a ma page1 dans le dossier "supercool" je fait (dans un reseau local) : http://localhost/projet1/?rep_rubr [...] ntre=page1 maintenant j'ai remplacé page1 par http://www.google.fr : http://localhost/projet1/?rep_rubr [...] google.fr/ Ben dans ce cas je tombe sur la page 404.htm de mon site! :) Alors vous en pensez koi? |
| Vadrigar | Hum je fais jamais de switch alors chui larguer pour le tableau...
J'ai lu l'article de newshackeur et moi mon code etait proteger contre ca. Je ne donne jamais a la valeur de ma variable un nom de page direct mais news pour news.htm par exemple. Ensuite sur la page de la pseudo frame (centre.php) je verifie avec:
|
| electroger | Je viens de lire ton lien Ethernal et je dois bien avouer que je suis surpris par les possibilités qu'offrent les includes au hacker... :ouch: Comment puis-je sécuriser mon site? |
| ethernal | il y a pas que les login et pwd, même sans eux avec cette faille tu modifies, uploads, effaces ce que tu veux sur ton site.
donc oui, tu risques gros ;) |
| electroger | Ben, moi j'utilise le php rien que pour les includes, parce que je voulais faire un site qui avait pour base un tableau (sommaire / page principale ...). Mais je ne pense pas que mon code contient mon login et code... Donc je ne devrais pas avoir de prob? Il y a comme même mon forum (phpBB2 :) ) qui contient code et login de mon compte multimania (site sur free et forum sur multi). Alors est ce qu'il y a un risque pour mon forum? |
| ethernal | si tu veux une explication plus détaillée : http://www.newshackers.com/?nh=faillephp |
| ethernal |
|
| Vadrigar | [HS] C'est normal que je ne vois pas l'avatar des membre dans le forum programmation ? |
| Vadrigar | Bah si justement grace a la faile il chope le code et le login. T'as pas du encore en faire mais quand tu fais une requete vers une base de donnée, tu dois indiquer ton login et ton pass qui sont stoqués dans une variable.
Maitenant si j'en crois ethernal on peut aussi avoir ton code en incluant /etc/password... Mais ds tt les cas ils doivent avoir tes codes pour suprimer ou modifier tes fichiers. |
| electroger | J'arrive pas a comprendre comment ça peut arriver... Ba, ouais, comme un hacker peut tout effacer sans avoir le login et le code de mon site? :heink: |
| Vadrigar | Bah les risques c'est pas compliqués, ils peuvent TOUT t'effacés, c'est pour ce qu'un webmaster d'un site qui commence a avoir de l'importance doit faire regulierement des backup de la bdd et du ftp.
Moi ce qui m'interesse, c'est les erreurs a pas faire. Pour ta solution ethernal c'est pas mal mais en general je classe tt mes fichiers a inclure dans un rep inc donc mes url sont du genre ?url=inc/page.php. En plus je pense que ca resout pas le trou de securité des includes que les gars ont utilisé pour hacker mon site la 2eme fois. Qqs m'avait dit qu'il faut codé sa variable d'include, ou mettre un id mais je sais pas coment on fait. Qqn peut m'eclairer plz ? |
| electroger | Concretement, qu'es sont les risques avec les trous de sécu? (piratage? etc) |
| electroger | C'est pas grave Olivier51 :D , mais je ne prétends absoluement pas savoir coder en php.
Pour info, mon herbergueur c'est free... Alors vous en pensez koi de tout ça? Perso, je commence à être serieusement perdu avec tous ces termes barbares que vous employés... |
| Olivier51 |
|
| gm_superstar |
|
| electroger | Ca a l'air compliqué tout ça... :ouch: Au passage Olivier51, si tu trouve un endroit ou je dis savoir codé en php... Je sais pas ou tu va chercher ça! Mais effectivement tu peux légitimement trouver ça bizard... Bon, moi je comprend rien... J'avais laissé sur ce forum, un message pour savoir quel était le meilleur moyen de faire un site en partant d'un tableau (case gche > sommaire, centrale> page principale etc.), ben... la reponse était claire : PHP. Et maintenant, on me dis non, c'est pas la peine! :heink: |
| ethernal |
facile à deviner... si tu fais une inclusion de fichier incluant un fichier en fonction de ce qui est passé dans l'url, tu dois bien tester le nom du fichier à inclure et exclure tout les / au minimum de ce nom.
- si tu ne testes pas le type de fichier que tu permets d'uploader (une image par ex) je peux uploader du code php qui me permet de rentrer sur ton pc.
|
| Vadrigar | Pour en revenir a mon prob du 2eme piratage. On m'a dit qu'il falait que j'empeche une page de s'executer sur mon site si elle n'etait pas sur la racine du site. Mais comment on fais pour ca ? J'avais penser a utilisé un otre moyen, cad ouvrir une session a l'index du site, puis d'ouvrir la page seulement si la session est ouverte. Le prob c'est que ca empeche les visiteurs d'acceder a une otre page que l'index directement... |
| zion |
|
| Vadrigar | Mouarf je pensais etre tombé sur le topic que je cherchais. En fait je pensais que l'on y aurait repertorié toute les failles que peut contenir du code de debutant en php.
Par exemple mon site a ete pirater 2 fois... 1 fois a cause de la version rc2 de phpbb, une connerie. 1 fois a cause d'une histoire de variable pas protégé qui permettait au pirate d'inclure sur mon site une page a lui qui permet d'afficher la valeur des variable, comme $user et $pass si vous voyez ce que je veut dire -_- Alors voila ca serait sympa que certain dise les trucs a faire pour que son code ne contienne pas de faille evidente. |
| Olivier51 | En plus il y a même pas besoin de mettre du PHP sur son site, la seul contraine de cette méthode est d'être sur serveur Apache, mais t'inquiète electroger, les serveurs Windows sont en voie de disparition :D Je trouve bizarre cette mode de dire qu'on c'est faire du PHP, parce qu'on a fais son site à l'aide de la fonction include() du PHP ... |
| zion | Utilise pas PHP alors si c'est que pour des include
http://httpd.apache.org/docs/mod/mod_include.html |
| electroger | Ba je sais pas (j'y connais pas grand chose) mais j'utilise le php que pour faire des includes (pour l'instant). En fait, ma page et un fichier *.php3 mais qui ne contient que du texte et des tableaux... D'ailleurs, je vois même pas ce que tu entend pas erreur de php... :sarcastic: |
| Olivier51 | bizarre comme erreur je ne pense pas que ça viennent du PHP, tu as beaucoup de PHP sur ta page ???
C'est une erreur du php qu'on te sort ??? |
| electroger | Par exemple : j'ai une page avec un peu de texte et deux tableaux assez important. Quand j'essai de le lire, le navi tente a plusieurs reprises de l'afficher, mais n'y paevient jamais :
1- Soit il fait "impossible d'afficher la page. 2- Ou, il fait pleins d'erreurs (style, case decallées etc.) Ca veut dire koi exactement? Et comment regler ce problême. |
| BMenez | 2 sources de problèmes : l'interpréteur PHP (c'est là qu'il faut utiliser la dernière version car certaines contiennent des fonctions pas très secure et activées par défaut) et le code proprement dit. En général, il s'agit de Buffer Overflow, c'est à dire que par exemple si tu rentres une chaine de caractère trop longue dans une variable, tu dépasses la taille de la variable et tu écrases ce qui se trouve en mémoire. Cela provoque un pétage de plombs de l'interpréteur et tu peux exécuter du code qui n'est pas prévu à l'origine. |
| electroger | Euh... la dernière version de koi? Moi, je pensais que le trou de sécu se trouvait dans le code... Enfin, je sais pas trop, j'y connais rien en php. |
| art_dupond | ben déjà mettre la dernière version je pense (parce qu'il y avait un problème dans une des versions précédentes)
|
| electroger | Salut tout le monde! J'ai vu sur plusieurs site des histoires de trous de sécurité dans des site en php... J'amerais savoir de quoi il sagit exactement et comment faire pour que son site soit sécurisé. Merci d'avance |
