Hacking site php
waterw72
Messages postés
63
Date d'inscription
jeudi 30 septembre 2004
Statut
Membre
Dernière intervention
18 juillet 2008
-
19 mai 2008 à 09:01
coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 - 11 juin 2008 à 18:16
coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 - 11 juin 2008 à 18:16
8 réponses
coucou747
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Membre
Dernière intervention
30 juillet 2012
44
19 mai 2008 à 13:56
19 mai 2008 à 13:56
salut
faudrait voir le site, mais en general, c'est pas l'hebergeur qui est en cause...
ton site a une XSS assez gennante : met :
<script type="text/javascript"> window.location.href="http://eelte.megami.fr"; </script>
comme commentaire a une news ou autre....
et sinon, ton captcha est vraiment tres simple a casser...
faudrait voir le site, mais en general, c'est pas l'hebergeur qui est en cause...
ton site a une XSS assez gennante : met :
<script type="text/javascript"> window.location.href="http://eelte.megami.fr"; </script>
comme commentaire a une news ou autre....
et sinon, ton captcha est vraiment tres simple a casser...
waterw72
Messages postés
63
Date d'inscription
jeudi 30 septembre 2004
Statut
Membre
Dernière intervention
18 juillet 2008
19 mai 2008 à 14:28
19 mai 2008 à 14:28
J'ai corrigé avec un htmlentities() pour ce qui est du javascript.
Pour le captcha, c'est pas mon truc... donc je laisse comme ça.
D'autres ont des infos / idées?
Pour le captcha, c'est pas mon truc... donc je laisse comme ça.
D'autres ont des infos / idées?
Teclis01
Messages postés
1423
Date d'inscription
mardi 14 décembre 2004
Statut
Membre
Dernière intervention
29 décembre 2012
4
19 mai 2008 à 15:34
19 mai 2008 à 15:34
Depend des fonctionnalités de ton site... upload, remplissage de champs qui donne la possibilité d injection SQL... faudrait voir la source
Il vaut mieux poser une question et passer pour bête que le rester toute sa vie
Les geeks n'ont pas une case en moins ils commencent juste à compter à partir de zéro
Il vaut mieux poser une question et passer pour bête que le rester toute sa vie
Les geeks n'ont pas une case en moins ils commencent juste à compter à partir de zéro
waterw72
Messages postés
63
Date d'inscription
jeudi 30 septembre 2004
Statut
Membre
Dernière intervention
18 juillet 2008
24 mai 2008 à 20:51
24 mai 2008 à 20:51
Bonjour,
J'avais effectivement des formulaires sans utiliser l'htmlentities des données reçues par POST.
Cela dit, j'ai du code (javascript) dans mes fichiers php. Ce n'est pas moi qui l'ai écrit.
Comment est-ce possible?
Est-ce qu'un chmod 444 (lecture seule) est la solution? Le chmod actuel est 644.
J'avais effectivement des formulaires sans utiliser l'htmlentities des données reçues par POST.
Cela dit, j'ai du code (javascript) dans mes fichiers php. Ce n'est pas moi qui l'ai écrit.
Comment est-ce possible?
Est-ce qu'un chmod 444 (lecture seule) est la solution? Le chmod actuel est 644.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
coucou747
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Membre
Dernière intervention
30 juillet 2012
44
24 mai 2008 à 20:54
24 mai 2008 à 20:54
c'est mettre du scotche pour boucher un trou dans un mur...
faut corriger tes failles sur tes formulaires, pas faire ca...
faut corriger tes failles sur tes formulaires, pas faire ca...
waterw72
Messages postés
63
Date d'inscription
jeudi 30 septembre 2004
Statut
Membre
Dernière intervention
18 juillet 2008
24 mai 2008 à 21:57
24 mai 2008 à 21:57
OK, j'ai mis sur les pages de gestion, un test de trois paramètres :
- si la variable de session "nom utilisateur " existe (isset)
- si la variable de session "id de l'utilisateur " existe (isset)
- si l'id de l'utilisateur dans la variable de session existe dans la db.
Est-ce suffissant?
Pour le moment, je n'ai plus de flood dans ma base de donnée. L'écriture dans mes tables et sous contrôle.
Par contre mes fichiers php sont toujours modifiés par d'autre individus(...). Comment cela peut-il se produire?
Ne serait-ce pas un problème au niveau de l'hébergeur? Je possède deux sites (donc 2 comptes) chez ce même hergeur et mes 2 sites sont "modifié" aux mêmes heures.
Merci à vous
- si la variable de session "nom utilisateur " existe (isset)
- si la variable de session "id de l'utilisateur " existe (isset)
- si l'id de l'utilisateur dans la variable de session existe dans la db.
Est-ce suffissant?
Pour le moment, je n'ai plus de flood dans ma base de donnée. L'écriture dans mes tables et sous contrôle.
Par contre mes fichiers php sont toujours modifiés par d'autre individus(...). Comment cela peut-il se produire?
Ne serait-ce pas un problème au niveau de l'hébergeur? Je possède deux sites (donc 2 comptes) chez ce même hergeur et mes 2 sites sont "modifié" aux mêmes heures.
Merci à vous
waterw72
Messages postés
63
Date d'inscription
jeudi 30 septembre 2004
Statut
Membre
Dernière intervention
18 juillet 2008
11 juin 2008 à 11:32
11 juin 2008 à 11:32
Bonjour,
Je ne vois vraiment pas comment des fichiers php (-rwxr-xr-x) peuvent être modifié (on a écrit le code d'une iframe au début du fichier).
J'ai vraiment besoin de comprendre ...
Merci
Je ne vois vraiment pas comment des fichiers php (-rwxr-xr-x) peuvent être modifié (on a écrit le code d'une iframe au début du fichier).
J'ai vraiment besoin de comprendre ...
Merci
coucou747
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Membre
Dernière intervention
30 juillet 2012
44
11 juin 2008 à 18:16
11 juin 2008 à 18:16
sans tes sources... c'est difficile de t'aider...
