Include config et sécurité? [Résolu]

Signaler
Messages postés
95
Date d'inscription
mercredi 27 octobre 2004
Statut
Membre
Dernière intervention
1 décembre 2007
-
Messages postés
95
Date d'inscription
mercredi 27 octobre 2004
Statut
Membre
Dernière intervention
1 décembre 2007
-
Bonjour!

Voila, je vous explique mon probleme, j'ai une galerie photo (visible ici ) ... je l'ai installée chez un copain (ben ouai, faut bien se faire un peu de pub )... elle marche bien, sauf qu'il y a une faille de sécurité! Donc elle marche pas bien !

En fait, pour ajouter de nouvelles catégories de photo, il faut entrer
un mot de passe et un nom d'utilisateur, que l'admin entre dans le
fichier ./inc/config.php .

Un utilisateur, qui n'est pas le copain (seul admin) a réussi a ajouter
une catégorie en rentrant le bon mot de passe (je suis pratiquemment
sur qu'il est passé par le fichierd'ajout de galerie, protégé par mot
de passe : ./galerie/new.php .



La seule explication que j'aurais serait qu'il aie inclu mon fichier
config.php a partir de son serveur, et ainsi récupéré les données.
Est-ce possible, ou non ?

Je pense pas qu'il soit passé par de la brute-force ou du social, ca fait meme pas une semaine que la galerie est en place...



Donc je suis dans le flou, et ne sais pas du tout d'ou vient la faille...



Merci bcp de vos reponses!

4 réponses

Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Salut,



ce n'est pas possible étant donné que le php est interprété par le
serveur, il n'aurait récupéré qu'une page HTML. Ton problème vient
d'ailleurs.



a +

<hr size="2" width="100%">




<li>Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique</li>
Messages postés
95
Date d'inscription
mercredi 27 octobre 2004
Statut
Membre
Dernière intervention
1 décembre 2007

oki, parce que dans chaque fichier, j'inclus le fichier config, et je
recupere les variables qui m'interessent. Je me suis donc dis qu'un
hackeur pouvait faire de même... J'ai testé a partir d'un autre site,
ca marche pas... Mais ca pouvait venir d'une version php trop recente
(enfin, le trop est de trop ;-) )

Donc... dans le doute on demande...

Merci!
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Je pense plutôt que ça vient de ton code, pas d'une faille de PHP :-)

<hr size="2" width="100%">




<li>Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique</li>
Messages postés
95
Date d'inscription
mercredi 27 octobre 2004
Statut
Membre
Dernière intervention
1 décembre 2007

t'en pis... c'est toujours plus valorisant de dire que c'est la faute à
php que de dire que c'est moi qu'ai mis une faille (quoique... ca vient
peut-être de son site!)



lol... merci quand meme!



+++