Page 1 sur 1
hack de mon site
Posté : 21 août 2006, 22:36
par Aï Aï
Salut,
Je me suis fais pirater mon site, glups.
J'ai eu ça comme message :
Defaced by Great
Hehe. Administrator, you should carefully watch over your site
No data has been deleted from your site.
Greetz: DaMaGeLaB.OrG, specially to Duke03 =)
Fuckz: Web-hack.ru, specially to Terabyte
To administrator: your script txt/index.php has the serious error. You should filter input parameter 'aff' to provide unauthorized access to your site
See you again soon
Qui peut m'aider à comprendre d'ou vient mon problème et comment ils ont fait afin que je corrive ma faille de sécurité !
Merci beaucoup
Posté : 21 août 2006, 22:58
par iclo
Sans code, on ne peu rien te dire....
problème sur les "aff" ?
Posté : 21 août 2006, 23:10
par Aï Aî
Re,
Je crois que ça vient de ça :
J'ai fait des liens comme ça :
<a href="index.php?aff=page.php">nomdelapage</a
je crois comprendre dans le message du haker qu'il entre car je ne filtre pas le aff.
Est-ce que le code que j'ai mis ne permet pas en fait d'exécuter un code php s'il remplace "page.php" par un code en mettant par exemple :
<a href="index.php?aff=
http://www.sonsite.php/soncodepirate.ph ... elapage</a ?
En fait il a réussi à changer ma page d'accueil.
Merci bien pour votre aide.
Posté : 21 août 2006, 23:15
par Cyrano
Comme l'a mentionné iclo, sans code, on peut rien faire et comme tu ne précises même pas l'url du site, on pourra même pas avoir une idée de la méthode d'intrusion utilisée. Ton site est fait avec quoi au juste ? Un CMS ou c'est une construction maison complète ?
construction maison
Posté : 21 août 2006, 23:28
par Aï Aï
Salut Cyrano,
En fait, c'est une construction maison.
Je fais ça :
J'affiche un menu avec des liens comme ça :
<a href="page1.php?aff=page1.php">page 1</a
<a href="page2.php?aff=page2.php">page 2</a
$aff = $_GET['aff'];
include ($aff);
Vous comprenez ?
Je crois qu'avec ce code, je permets à quelqu'un d'exécuter un code php (puisqu'il y a le include) si la personne remplace : aff=page2.php par l'adresse d'un code.
Est-ce possible ?
Merci
Posté : 22 août 2006, 00:50
par HanX
avant ton include, rajoute :
if (file_exists($aff)) {
include $aff; }
else {
include "autrepage.php";
}
pour répondre à ta quesion oui, va voir la doc de la fonction include
enfin, petit conseil, évite de mettre des url avec des .php genre "index.php?page=users.php" mais plutot "index.php?page=users" ou mieux "users.php" (avec un rewriting url par .htacces)
Posté : 22 août 2006, 01:02
par iclo
En effet, c'est une belle faille de sécurité.
La règle de base, c'est de ne jamais faire confiance aux informations de l'utilisateur.
Ouf merci
Posté : 22 août 2006, 11:46
par Aï Aî
Merci à vous.
j'ai fait une belle boulette.
Au moins je connais l'origine de la faille et je vais pouvoir la corriger.
Merci à vous.
