Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

Forum et attaques sur failles injection

https://forum.phpfrance.com/viewtopic.php?f=8&t=242049

Page 1 sur 1

Forum et attaques sur failles injection

Posté : 03 août 2008, 17:11
par Artygone
Bonjour à tous.

Je viens de monter un forum sur mon serveur et je viens d'apprendre qu'il avait des failles, voir ici:

http://www.secuobs.com/secumail/snsecum ... 0981.shtml

Aucun patch correctif n'est proposé. Quelqu'un pourrait il m'expliquer comment faire un petit patch correctif.

Je pense qu'il existe un tableau des variables passées à mon script, mais lequel? Et quelle est la fonction qui permet d'assainir les paramètres en question.

Je débute en PHP, donc, dur dur, mais j'ai quand même quelques notions.

Merci d'avance de vos réponses

Luc :wink:

Posté : 03 août 2008, 17:29
par hakazizi
j'ai pas compris comment peut tu dire que ton site a des failles alors que c'est ton ordi qui est tester????

deplus c'est bien gadjet qui sert a rien.
tout ce qu'il m'a trouver c'est un defut d'update alors que mon pc est a jours ainsi que mon antivirus et mes anti spyware.
et a la suite de ce teste ils dise de continuer par une version payante.
trouver l'erreur.
donc no comment sur sur ce site...

Posté : 03 août 2008, 17:48
par Berzemus
C'est marqué en grand:
Input passed to the "fog_lang" and "fog_skin" parameters in index.php is not properly verified before being used to include files.
De ce qu'il dit, faudrait voir comment ces variables sont traitées. Par exemple, est-ce qu'en modifiant la valeur de ses variables on peut inclure le fichier qu'on veut ? De toute façon, il est probable que le serveur n'autorise pas l'inclusion de fichiers qui n'appartiennent pas au même domaine, mais vaut mieux vérifier. (et peut-être qu'une vérification est effectuée, mais que le site-truc-bazar-audit ne le découvre pas, ce qui me parait la réponse la plus correcte :wink: )

Posté : 03 août 2008, 18:42
par Artygone
Hakazizi, merci mais j'ai rien compris à ta réponse... quel rapport avec les antivirus? J'ai monté le site sur un serveur web Linux protégé au max, pas sur mon PC perso :wink: :wink: :wink: :wink:

Berzemus, je suis pas du tout en crack en PHP, donc je pense qu'il serait bien plus simple de "traiter" ou "épurer" les deux champs "fog_lang" et "fog_skin", (j'avais pas faut gaffe qu'ils n'avaient détecté que ces deux là!!!!

Mais comment faire?

Merci en tout cas de vos réponses :wink:
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/