février
2009
Un article de doctorrock
Stephan Esser nous parle d’une faille d’inclusion de fichiers distants dans PHPBB.
Ca se passe ici pour les curieux
Bon ça parle de register globals et de trucs qu’on utilise plus depuis des années …
Cependant, si vous suivez ce lien, vous verrez comment une petite (bon aller, une grosse certes) faille dans le code PHP peut mener à la catastrophe absolue : vol d’emails, dumps de tables SQL, récupération de mots de passes, tout y passe.
Il faut bien se souvenir que PHP + Apache est une porte d’entrée vers TOUT le système, via le port 80, si celui-ci est mal sécurisé.
Vous ouvrez vraiment une porte (80) de votre serveur vers l’extérieur, et vous faites tourner un programme derrière, ceci DOIT immédiatement vous faire poser la question « mais qu’est ce que le monde peut faire via cette porte 80 au juste ? »
Et PHP a du pouvoir : il possède des centaines de fonctions pouvant ouvrir la porte à n’importe qui, surtout lorsque le pirate a la source du script.
Evidemment, c’est sécurisable (Stephan Esser donne des solutions), encore faut-il le faire, et surtout évitez des scripts à risque comme celui incriminé.
1 Commentaire + Ajouter un commentaire
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007
Eviter les scripts à risque, et être sensible à leurs comportements, ok mais comment le faire lorsqu’il s’agit d’un outil du type de licence de phpBB ?! Ne pas l’utiliser ?! Le risque pour le produit final est à prendre en considération…