Re: Tentatives possible réussies attaque serveur
@andre, une dernière fois, au cas où:
si tu veux avoir une indication sur le succès ou non des requêtes
relevées, tente ce qui t'a été suggéré:
fais la même requête depuis ton navigateur, et vois si tu obtiens ou
non le contenu d' /etc/passwd
si oui => il y a un risque que l'attaque ait réussi
si non=> l'attaque a dû échouer
on ne peut rien dire de plus sans connaître le contenu de index.php ...
si jamais ça marche, c'est à dire qu'index.php utilise la valeur du
paramètre rev alors il EST mal écrit et il FAUT le changer pour
refermer la faille.
La meilleure manière de limiter les failles c'est de réduire la partie
dynamique au strict minimum.
Pour naviguer de page en page, il vaut 100 fois mieux utiliser des
liens vers des URL statiques, car alors les contrôles de sécurité du
serveur HTTP (apache2, par exemple) ne sont pas contournés, donc la
sécurité est meilleure.
______________
Éric Dégenètais
Henix
http://www.henix.com
http://www.squashtest.org
Le 13 octobre 2015 23:17, Philippe Gras <ph.gras@worldonline.fr> a écrit :
>
> Le 13 oct. 2015 à 21:54, andre_debian@numericable.fr a écrit :
>>
>> Je pense que tu ne sais même pas ce que veut dire :
>
> Ce n'est pas très grave tout ça, au fond. Parfois, on a la tête dans le guidon,
>
> on ne vois pas forcément ce qu'il y a juste devant gros comme un montagne.
>
> Mais quelques semaines plus tard, on y repense et on y trouve ce que l'on a
>
> désespérément cherché.
>
> J'avais déjà posé la question il y a plusieurs mois ici donc c'est avec un petit
>
> décalage que j'ai appris plein de trucs grâce à ce sujet.
>
> Alors s'il n'a pas (encore) servi à celui qui pose la question, il a quand même
>
> servi. Mais peut-être sera-t-il utile de poser encore une fois la question.
>
> Bis repetita placent.
Reply to: