Re: Tentatives possible réussies attaque serveur
On Wednesday 14 October 2015 10:12:59 Eric Degenetais wrote:
> @andre, une dernière fois, au cas où:
> si tu veux avoir une indication sur le succès ou non des requêtes
> relevées, tente ce qui t'a été suggéré:
> fais la même requête depuis ton navigateur, et vois si tu obtiens ou
> non le contenu d' /etc/passwd
> si oui => il y a un risque que l'attaque ait réussi
> si non=> l'attaque a dû échouer
> on ne peut rien dire de plus sans connaître le contenu de index.php ...
> si jamais ça marche, c'est à dire qu'index.php utilise la valeur du
> paramètre rev alors il EST mal écrit et il FAUT le changer pour
> refermer la faille.
> La meilleure manière de limiter les failles c'est de réduire la partie
> dynamique au strict minimum.
> Pour naviguer de page en page, il vaut 100 fois mieux utiliser des
> liens vers des URL statiques, car alors les contrôles de sécurité du
> serveur HTTP (apache2, par exemple) ne sont pas contournés, donc la
> sécurité est meilleure. Éric Dégenètais
Je voulais simplement marquer le coup sur un mail
de mauvais aloi, accusateur d'un serveur web et
scripts php, moisis. C'est désagréable.
Maintenant, un mail peut agacer, je comprends,
et on y répond par le silence.
Le silence est d'or, la parole est d'argent,
et l'écriture est...
Concernant ton mail, aimable et courtois,
il est équivalent au silence :-)
L'incident est clos.
Bonne fin de soirée.
André
Reply to: