Re: injection SQL
Le 15024ième jour après Epoch,
Pierre Allken-Bernard écrivait:
> Le 19/02/2011 à 01:33:00, François TOURDE a écrit :
>> Que t'as dit le mail en question, que fais-tu tourner sur ton serveur,
>> quels sont tes "scripts", etc...
>> Moins tu en dis, moins on peut t'aider...
>
> Le mail en question était très lacunaire.
> Mais grâce à quelqu'un de la liste, j'ai lancé wapiti à l'attaque
> de mon site et il m'a indiqué les formulaires qui posent problème
> (des formulaires classique avec des pages php). Le seul mystère pour moi
> c'est pourquoi certains formulaires et pas d'autres
> (sachant que ils sont tous (mal) écrits par moi).
Je ne connais pas Wapiti, mais il me semble difficile pour lui de savoir
si tel ou tel formulaire contient une éventuelle injection SQL ou autre
inclusion de fichier.
Idéalement, si tu veux des infos sur pourquoi tel formulaire n'est pas
étanche, ou tel autre l'est considéré comme étanche par wapiti, il
faudrait les poster.
Par contre, ici, c'est une liste Debian, donc les formulaires à vérifier
seraient plus pertinents sur une liste PHP ou équivalent. Au pire,
étiquette le sujet de ton mail avec la marque [HS] par exemple, ça
évitera de t'attirer les foudres de vieux cons comme moi ;)
Et poste pas ça un vendredi, c'est spécial le vendredi ici...
Reply to: