Re: Tentatives possible réussies attaque serveur
> Mais rien n'empêche de taper directement ceci :
> "www.monsite.com/../../../../... /etc/passwd
> Le fait d'avoir une page d'index ou non,
> "/index.php?rev=../../../../../../../../../etc/passwd"
> ne doit pas changer grand chose...
bonjour,
En principe, le serveur est conçu pour limiter l’arborescence exposée.
Pour peu que le paramétrage par défaut soit correct et n'ai pas été
altéré imprudemment, il offre une bonne protection. Cependant les
pages PHP peuvent contourner cette protection si elles sont écrites
imprudemment, car le moteur d'exécution PHP a beaucoup plus de
latitude pour accéder à des fichiers que le serveur Web...d'où
l'apparition de failles qui n'existe pas dans les sites statiques.
cordialement
______________
Éric Dégenètais
Henix
http://www.henix.com
http://www.squashtest.org
Le 9 octobre 2015 14:47, <andre_debian@numericable.fr> a écrit :
> Merci de la piqûre de rappel ci-dessous concernant les
> langages dynamiques Web.
>
> Les documents sur la sécurité abondent en ce sens,
> dont surtout la réinjection de codes dans les pages Web.
>
> La question initiale était :
> /index.php?rev=../../../../../../../../../etc/passwd
> HTTP Response 200, possible tentatives avec succès..."
>
> Mais rien n'empêche de taper directement ceci :
> "www.monsite.com/../../../../... /etc/passwd
>
> Le fait d'avoir une page d'index ou non,
> "/index.php?rev=../../../../../../../../../etc/passwd"
> ne doit pas changer grand chose...
>
> André
>
> On Friday 09 October 2015 14:30:54 Sébastien NOBILI wrote:
>> Le vendredi 09 octobre 2015 à 13:27, andre_debian@numericable.fr a écrit :
>> > Je ne sais plus qui, je ne sais plus quand (ça a été tronqué) a écrit :
>> > > pour la sécurité d'une page Internet dynamique tout
>> > > les arguments passés a une page Internet, qu'ils soit
>> > > par l'URL ou par des formulaires, sont à considérer
>> > > comme potentiellement dangereux :
>> >
>> > Le PHP est un langage de sites dynamiques,
>> > comment faire autrement ?
>>
>> PHP a une très mauvaise réputation de nid à failles. Cette réputation n'est
> pas
>> forcément très objective mais parmi les arguments qui l'ont faite, on
> trouve :
>> - que l'API n'est pas très rigoureuse;
>> - qu'on peut développer un site en PHP sans trop de connaissances (et
> donc
>> sans forcément trop de sécurité non plus).
>>
>> > "php.ini" traite les variables de formulaires,
>> > selon le mode "register_global = off",
>> > avec transmission de la variable à la page de traitement par :
>> > ...$_POST["name"]...
>> > Que peut-on faire de plus ?
>>
>> Ma réponse est indépendante du langage utilisé et vaut autant pour PHP que
> pour
>> tout autre langage utilisé pour créer des sites dynamiques (et même d'une
>> manière large des programmes client/serveur) :
>>
>> Ne _jamais_ faire confiance à ce qui arrive du client !
>>
>> Tu considères que tout est douteux et tu vérifies _scrupuleusement_ tout ce
> qui
>> arrive :
>> - est-ce que le nombre que tu attends est bien seulement un nombre;
>> - est-ce que la chaîne que tu attends ne contient pas de quoi faire de
>> l'injection SQL;
>> - est-ce que la chaîne que tu attends ne contient pas de quoi faire du
> XSS;
>> - etc.
>>
>> Pour ça, les expressions rationnelles sont un très bon allié.
>>
>> Sébastien
>>
>>
>
Reply to: