Re: Tentatives possible réussies attaque serveur

To: debian-user-french@lists.debian.org
Subject: Re: Tentatives possible réussies attaque serveur
From: andre_debian@numericable.fr
Date: Fri, 9 Oct 2015 23:07:45 +0200
Message-id: <[🔎] 201510092307.45475.andre_debian@numericable.fr>
In-reply-to: <[🔎] 1490929.XBAbdrEObo@earendil>
References: <[🔎] 201510021105.26553.andre_debian@numericable.fr> <[🔎] 201510091447.01703.andre_debian@numericable.fr> <[🔎] 1490929.XBAbdrEObo@earendil>

On Friday 09 October 2015 15:39:57 Sylvain L. Sauvage wrote:
> Le vendredi 9 octobre 2015, 14:47:01 andre_debian@numericable.fr 
> a écrit :
> > Merci de la piqûre de rappel ci-dessous concernant les
> > langages dynamiques Web.
> > Les documents sur la sécurité abondent en ce sens,
> > dont surtout la réinjection de codes dans les pages Web.
> > La question initiale était :
> > /index.php?rev=../../../../../../../../../etc/passwd
> > HTTP Response 200, possible tentatives avec succès..."
> > Mais rien n'empêche de taper directement ceci :
> > "www.monsite.com/../../../../... /etc/passwd
> > Le fait d'avoir une page d'index ou non,
> > "/index.php?rev=../../../../../../../../../etc/passwd"
> > ne doit pas changer grand chose...

> Ok, donc, malgré tout ce qui a été dit dans ce fil, tu n’as 
> pas compris le protocole HTTP : ces requêtes ne sont pas 
> équivalentes.
> Passer par un fichier PHP mal écrit qui va pouvoir lire 
> n’importe quel fichier sur ta machine si on lui passe un chemin 
> dans le bon paramètre n’est pas équivalent à faire une requête 
> que le serveur va savoir refuser. À moins que celui qui a écrit 
> le fichier PHP moisi soit aussi celui qui a écrit le serveur 
> HTTP, ce dernier n’acceptera pas d’aller remonter plus haut que 
> sa racine (p.ex. /var/www).

> celui qui a écrit le fichier PHP moisi soit aussi celui qui a 
> écrit le serveur  HTTP :
ça veut dire quoi "écrire le serveur HTTP" ?

Qu'en sais tu que mes scripts PHP sont moisis ?
(humm, en plus le terme "moisi" ne va pas... plutôt "édulcoré").

Jje me vois répondre par une polémique sur la validité de 
mes scripts, php, page d'index, variables, écriture HTTP, moisis...  !
qu'en sais tu ?

Je ré-explique la problèmatique par comparaison :
je monte dans ma voiture la matin qui possède un logwatch de sécurité.
Il m'annonce "qu'une tentative d'intrusion" a eu lieu à 03h40, code 200.
Je pose la question : 
y a t-il eu "une tentative d'intrusion" ou "une intrusion" ?
Si "tentative d'intrusion", la sécurité de ma voiture n'est pas moisie,
si "intrusion réussie" : oui, elle est moisie (scripts édulcorés).

Je voulais donc juste savoir si le fichier "/etc/passwd" a été 
téléchargé ou pas, point.

Bien lire la demande d'un membre de la liste est très important.

André

Reply to:

Follow-Ups:
- Re: Tentatives possible réussies attaque serveur
  - From: "Sylvain L. Sauvage" <Sylvain.L.Sauvage@free.fr>

References:
- Tentatives possible réussies attaque serveur
  - From: andre_debian@numericable.fr
- Re: Tentatives possible réussies attaque serveur
  - From: andre_debian@numericable.fr
- Re: Tentatives possible réussies attaque serveur
  - From: "Sylvain L. Sauvage" <Sylvain.L.Sauvage@free.fr>

Prev by Date: problème de $PATH pour les manpages sous bash
Next by Date: Re: Tentatives possible réussies attaque serveur
Previous by thread: Re: Tentatives possible réussies attaque serveur
Next by thread: Re: Tentatives possible réussies attaque serveur
Index(es):
- Date
- Thread