stroubinou
Messages postés95Date d'inscriptionmercredi 27 octobre 2004StatutMembreDernière intervention 1 décembre 2007
-
12 mai 2005 à 18:31
stroubinou
Messages postés95Date d'inscriptionmercredi 27 octobre 2004StatutMembreDernière intervention 1 décembre 2007
-
13 mai 2005 à 16:58
Bonjour!
Voila, je vous explique mon probleme, j'ai une galerie photo (visible ici ) ... je l'ai installée chez un copain (ben ouai, faut bien se faire un peu de pub )... elle marche bien, sauf qu'il y a une faille de sécurité! Donc elle marche pas bien !
En fait, pour ajouter de nouvelles catégories de photo, il faut entrer
un mot de passe et un nom d'utilisateur, que l'admin entre dans le
fichier ./inc/config.php .
Un utilisateur, qui n'est pas le copain (seul admin) a réussi a ajouter
une catégorie en rentrant le bon mot de passe (je suis pratiquemment
sur qu'il est passé par le fichierd'ajout de galerie, protégé par mot
de passe : ./galerie/new.php .
La seule explication que j'aurais serait qu'il aie inclu mon fichier
config.php a partir de son serveur, et ainsi récupéré les données.
Est-ce possible, ou non ?
Je pense pas qu'il soit passé par de la brute-force ou du social, ca fait meme pas une semaine que la galerie est en place...
Donc je suis dans le flou, et ne sais pas du tout d'ou vient la faille...
stroubinou
Messages postés95Date d'inscriptionmercredi 27 octobre 2004StatutMembreDernière intervention 1 décembre 2007 13 mai 2005 à 07:31
oki, parce que dans chaque fichier, j'inclus le fichier config, et je
recupere les variables qui m'interessent. Je me suis donc dis qu'un
hackeur pouvait faire de même... J'ai testé a partir d'un autre site,
ca marche pas... Mais ca pouvait venir d'une version php trop recente
(enfin, le trop est de trop ;-) )
stroubinou
Messages postés95Date d'inscriptionmercredi 27 octobre 2004StatutMembreDernière intervention 1 décembre 2007 13 mai 2005 à 16:58
t'en pis... c'est toujours plus valorisant de dire que c'est la faute à
php que de dire que c'est moi qu'ai mis une faille (quoique... ca vient
peut-être de son site!)