Bonjour à tous.

Je viens de monter un forum sur mon serveur et je viens d'apprendre qu'il avait des failles, voir ici:

http://www.secuobs.com/secumail/snsecum ... 0981.shtml

Aucun patch correctif n'est proposé. Quelqu'un pourrait il m'expliquer comment faire un petit patch correctif.

Je pense qu'il existe un tableau des variables passées à mon script, mais lequel? Et quelle est la fonction qui permet d'assainir les paramètres en question.

Je débute en PHP, donc, dur dur, mais j'ai quand même quelques notions.

Merci d'avance de vos réponses

Luc

j'ai pas compris comment peut tu dire que ton site a des failles alors que c'est ton ordi qui est tester????

deplus c'est bien gadjet qui sert a rien.
tout ce qu'il m'a trouver c'est un defut d'update alors que mon pc est a jours ainsi que mon antivirus et mes anti spyware.
et a la suite de ce teste ils dise de continuer par une version payante.
trouver l'erreur.
donc no comment sur sur ce site...

C'est marqué en grand:

Input passed to the "fog_lang" and "fog_skin" parameters in index.php is not properly verified before being used to include files.

De ce qu'il dit, faudrait voir comment ces variables sont traitées. Par exemple, est-ce qu'en modifiant la valeur de ses variables on peut inclure le fichier qu'on veut ? De toute façon, il est probable que le serveur n'autorise pas l'inclusion de fichiers qui n'appartiennent pas au même domaine, mais vaut mieux vérifier. (et peut-être qu'une vérification est effectuée, mais que le site-truc-bazar-audit ne le découvre pas, ce qui me parait la réponse la plus correcte )

Hakazizi, merci mais j'ai rien compris à ta réponse... quel rapport avec les antivirus? J'ai monté le site sur un serveur web Linux protégé au max, pas sur mon PC perso

Berzemus, je suis pas du tout en crack en PHP, donc je pense qu'il serait bien plus simple de "traiter" ou "épurer" les deux champs "fog_lang" et "fog_skin", (j'avais pas faut gaffe qu'ils n'avaient détecté que ces deux là!!!!

Mais comment faire?

Merci en tout cas de vos réponses