Re: [hs] injection SQL

[Dominique Asselineau <asseline@telecom-paristech.fr>]

Pierre Allken-Bernard wrote on Fri, Feb 18, 2011 at 02:18:35PM +0100
> Bonjour,
> J'ai un petit site web perso (Apache, Debian).
> Je précise que je connais tout ça extrêmement superficiellement (et que je ne suis pas informaticien).
> J'ai reçu un mail d'un inconnu qui me dit que mon site est "vulnérable", "injection SQL", "accès
> à mon identifiant SQL", etc. 
> J'ai cru à un spam, mais comme le français était correct,
> j'ai répondu pour voir, et comme j'ai reçu une réponse, je me dit que
> c'est peut être une vraie personne qui m'a écrit :) voire que mon site est peut être "vulnérable".
> Mais plutôt que de prendre conseil avec cette personne (inquiétante et peu bavarde), 
> je me tourne vers cette aimable liste :
> 
> Qu'ai mal fait (ou pas fait) dans la configuration de Apache ?
> 
> (je précise que, grosso modo, je n'ai rien fait dans la configuration de Apache)

Le fichier de config contient très probablement les login et mot de
passe d'accès à la base de données, et peut-être y a-t-il un moyen de
lire en clair ce fichier de config, par un autre protocole que HTTP
par ex. ou en HTTP s'il y a un défaut de config du serveur Apache, ou
bien si l'application n'est vraiment pas secure (param. de config dans
un fichier texte non filtré par Apache).

Et puis la base de données ne devrait pas être accessible depuis une
machine externe, du moins pas avec les mêmes codes d'accès.

Dominique
--