kimmelf2
Messages postés267Date d'inscriptionlundi 22 septembre 2003StatutMembreDernière intervention27 novembre 2005 16 nov. 2004 à 23:15
enfin bref, pour toi la prudence c'est de la merde donc je sais meme pas si ca vaut le coup de continuer a en parler.
juste une question comme ca : si un pirate efface ton site tu fais quoi ???
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 14 nov. 2004 à 14:09
personne ne peut formater sans les droit su (super utilisateur) !!! On ne peut pas formater un serveur comme ça...
ensuite, ma sauvegarde est sur un autre disque dur : j'ai un serveur et un autre pc... le serveur a une partition principale de 4.8go, ce qui me fait un fihcier de 4.8 go sur mon disque dur de 80go...
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 14 nov. 2004 à 13:48
et l'openbasedir aussi :-)
Concernant les risques c'est clair, mais bon si tu raisonnes comme ça c'est que ton site ne doit pas être si important à tes yeux :-(
a ++
kimmelf2
Messages postés267Date d'inscriptionlundi 22 septembre 2003StatutMembreDernière intervention27 novembre 2005 14 nov. 2004 à 13:42
mais pourquoi tu n'autorise pas les fonctions de fichier de PHP ??? ca serai qd meme + simple, + portable, et - dangereux !!!
tu va me dire que tu va devoir filtrer les acces pour qu'un pirate ne passe pas du PHP qu'il pourrais ensuite executer depuis sont navigateur. c'est vrai. mais tu filtre la commande system alors c'est pas + simple.
la difference c'est la portee des fonctions. t'arrivera jamais a faire executer un formattage a PHP. par contre, a system .....
en + le filtre sur l'acces fichier peuvent qd meme assez simple. t'as deja les fonctions htmlentities et consoeurs qui font pas mal de boulot. ensuite tu peux toujours rajouter des trucs du genre str_replace("mysql", "", $txt); qui, par exemple, eliminerai les appels a mysql et donc empeche le pirate de faire des acces a ta bdd ...
autre point : tu dis que ta sauvegarde n'est pas sur CD. elle est ou ??? sur DVD ? ca se raiye aussi :-) sur ton DD ? ds ce cas ton resonnement est completement absurde et ca m'etonne que tu n'ai pas reagi : si un pirate bousille ton site au travers de la commande system (format ou autre) il y a de fortes chances que ca te baise aussi ta sauvegarde car un format, ca cogite pas que tel dossier est une sauvegarde donc on efface pas. ca ecrase tout, point barre
enfin, si tu aime prendre des risques c'est ton pb apres tout
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 14 nov. 2004 à 13:08
unesauvegarde de 4.8 go ... elle est aps sur cd
si mon disque lache en même temps que mon serveur alors je veux bien parier 10000€ qu'un générateur de nombre premiers aléatoire entre 0 et 100000 donne 4.... (faute faite exprès, ne vous inquiètez pas sur ma santéde mentale...)
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 14 nov. 2004 à 13:02
Mouais, suffit que ta sauvegarde iso (si elle est sur CD > ton cd est rayé, illisible) ensuite si elle est sur ton disque bon bah ton disque lâche...
Ce sont des cas extrêmes qui n'arriveront je l'espère pour toi jamais, mais qui peuvent arriver, et qui arrivent généralement là ou tu ne voudrais pas que ça arrive...
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 14 nov. 2004 à 12:43
"Le risque zéro n'existe pas..."=> quand t'as une sauvezgarde iso de ton serveur si... au pire on me bloque mon site trois jours le temps que je m'en aperçoive... et de toute façon tout site proposant un livre d'or a besoin d'un admin, sinon les floodeurs se chargent de pourrir le site...
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 14 nov. 2004 à 12:35
Le risque zéro n'existe pas...
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 14 nov. 2004 à 12:23
non, personne ne passeras... c'est pas possible, le serveiur c'ets une debian mode console, juste une passerelle et un serveur web, impénétrable sauf par apache qui n'a aucun droits quasiments...
même si je fais une page de merde, il ne poura que bloquer mon site, pas mon serveur, et c'est rapide a mettre...
kimmelf2
Messages postés267Date d'inscriptionlundi 22 septembre 2003StatutMembreDernière intervention27 novembre 2005 14 nov. 2004 à 00:50
Tiens !! un p'tit bouillon de pot au feu !!! ca ferai du bien ca !
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 14 nov. 2004 à 00:48
Il boira le bouillon :-)
Lol
kimmelf2
Messages postés267Date d'inscriptionlundi 22 septembre 2003StatutMembreDernière intervention27 novembre 2005 14 nov. 2004 à 00:18
tout ca est plutot relatif qd meme. aujourd'hui ca te protege mais demain ?? le jour ou un pirate arrivera a contourner ton filtre, tu fera quoi ??
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 13 nov. 2004 à 09:40
euh non, ça m'oblige a faire gafe a ce que je mets dans mes system... ce n'est pas arbitraire du tout !!!
c'ets du apache sur mandrake 10.1 beta et sinon, j'ai pas testé sur mon autre serveur (debian)...
kimmelf2
Messages postés267Date d'inscriptionlundi 22 septembre 2003StatutMembreDernière intervention27 novembre 2005 12 nov. 2004 à 23:41
c'est pas top ta config de la secu : ca t'interdis de creer un fichier mais ca t'autorise d'executer du code arbitraire !!!
c'est du kro$oft ou quoi ???
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 12 nov. 2004 à 19:19
ok :-)
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 12 nov. 2004 à 19:03
mais moi create_file("fichier") il accèpte pas...
alors je fais system("touch fichier");
pareil pour suprimer ou même parfois pour concatèner...
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 12 nov. 2004 à 18:36
ou sinon tu désactives la fonction system() dans php, ainsi que les autres fonctions à risques :-)
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 12 nov. 2004 à 18:31
évidement que c'est trop, mais c'est rapide a changer... de toute façon, si un admin veut ne pas avoir a surveiller son site, il ne doit pas mettre de livre d'or ect...
ce que l'on peut faire pour emp_ècher les accès system, c'est interdire les ; a l'intèrieur des variables que l'on passe aux fonctions system et la mon site reste au chaud...
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 12 nov. 2004 à 18:03
"sur le mien, il ne poura que péter mon site..."
C'est déjà trop :-) lol
a ++
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 12 nov. 2004 à 08:58
je sais je sais... mais en général personne ne voit les codes sources ...
et puis moi c'ets plutot
rm $machin
donf cormat n'auras aucun effet...
de plus y a des droits d'accès sur un serveur... sur le mien, il ne poura que péter mon site... pas mon serveur...
kimmelf2
Messages postés267Date d'inscriptionlundi 22 septembre 2003StatutMembreDernière intervention27 novembre 2005 12 nov. 2004 à 01:10
coucou747>
tu fais un truc du genre system("del ledossierimage". $filename); ?????
imagine un truc : si filename=".*.; echo o|format a: /V:"
(je suis gentil, je tape ke les disquettes, de + il doit y avoir un pb de syntaxe je crois mais je suis pas sur)
dans ce cas, la commande system
-1- efface les fichiers dans le dossier courant
-2- force le formattage de la disquette
et la, si pas de pot pour toi, le pirate a mis c: au lieu de a: ..................................
nicoxidine
Messages postés31Date d'inscriptionvendredi 5 novembre 2004StatutMembreDernière intervention30 juin 2005 5 nov. 2004 à 23:41
lis le fichier en entier coucou747, c'est ecrit dans les trois dernières lignes... ;o)
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 5 nov. 2004 à 23:35
Pour supprimer un fichier : unlink()
system est désactivé sur presque (ou tous) les hébergeurs mutualisés :-)
a ++
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 5 nov. 2004 à 23:30
sinon, je ne vois pas ou tu suprimes le fichier... en général, j'utilises system()... alors on me dit que c'ets pas bien, peux tu m'expliquer comment je peux me séparer de cette fonction ?
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 5 nov. 2004 à 20:45
Je répondais à Arkko :-)
a ++
nicoxidine
Messages postés31Date d'inscriptionvendredi 5 novembre 2004StatutMembreDernière intervention30 juin 2005 5 nov. 2004 à 20:05
Le but était juste d'uploader ou de supprimer un fichier, en ce qui concerne la sécuritée, il est evident qu'il y a des choses à faire, mais c'est un autre sujet... :o)
a+++
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 5 nov. 2004 à 19:29
Salut :-)
Contrôler l'extension n'est pas du tout sécurisé, il vaut mieux contrôler le type mime du document.
a ++
cs_Arkko
Messages postés192Date d'inscriptionmercredi 26 décembre 2001StatutMembreDernière intervention31 janvier 2007 5 nov. 2004 à 19:17
Cependant, il est très important, soit de controler l'extension du fichier (ne pas accepter *.php,*.php3,*.php4,*.phtml,*.inc,*php5 ou autres selon la configuration du serveur) ou de le pas laisser les visiteurs accèder aux repertoires qui contient les fichier uploadés.
16 nov. 2004 à 23:15
juste une question comme ca : si un pirate efface ton site tu fais quoi ???
14 nov. 2004 à 14:09
ensuite, ma sauvegarde est sur un autre disque dur : j'ai un serveur et un autre pc... le serveur a une partition principale de 4.8go, ce qui me fait un fihcier de 4.8 go sur mon disque dur de 80go...
14 nov. 2004 à 13:48
Concernant les risques c'est clair, mais bon si tu raisonnes comme ça c'est que ton site ne doit pas être si important à tes yeux :-(
a ++
14 nov. 2004 à 13:42
tu va me dire que tu va devoir filtrer les acces pour qu'un pirate ne passe pas du PHP qu'il pourrais ensuite executer depuis sont navigateur. c'est vrai. mais tu filtre la commande system alors c'est pas + simple.
la difference c'est la portee des fonctions. t'arrivera jamais a faire executer un formattage a PHP. par contre, a system .....
en + le filtre sur l'acces fichier peuvent qd meme assez simple. t'as deja les fonctions htmlentities et consoeurs qui font pas mal de boulot. ensuite tu peux toujours rajouter des trucs du genre str_replace("mysql", "", $txt); qui, par exemple, eliminerai les appels a mysql et donc empeche le pirate de faire des acces a ta bdd ...
autre point : tu dis que ta sauvegarde n'est pas sur CD. elle est ou ??? sur DVD ? ca se raiye aussi :-) sur ton DD ? ds ce cas ton resonnement est completement absurde et ca m'etonne que tu n'ai pas reagi : si un pirate bousille ton site au travers de la commande system (format ou autre) il y a de fortes chances que ca te baise aussi ta sauvegarde car un format, ca cogite pas que tel dossier est une sauvegarde donc on efface pas. ca ecrase tout, point barre
enfin, si tu aime prendre des risques c'est ton pb apres tout
14 nov. 2004 à 13:08
si mon disque lache en même temps que mon serveur alors je veux bien parier 10000€ qu'un générateur de nombre premiers aléatoire entre 0 et 100000 donne 4.... (faute faite exprès, ne vous inquiètez pas sur ma santéde mentale...)
14 nov. 2004 à 13:02
Ce sont des cas extrêmes qui n'arriveront je l'espère pour toi jamais, mais qui peuvent arriver, et qui arrivent généralement là ou tu ne voudrais pas que ça arrive...
14 nov. 2004 à 12:43
14 nov. 2004 à 12:35
14 nov. 2004 à 12:23
même si je fais une page de merde, il ne poura que bloquer mon site, pas mon serveur, et c'est rapide a mettre...
14 nov. 2004 à 00:50
14 nov. 2004 à 00:48
Lol
14 nov. 2004 à 00:18
13 nov. 2004 à 09:40
c'ets du apache sur mandrake 10.1 beta et sinon, j'ai pas testé sur mon autre serveur (debian)...
12 nov. 2004 à 23:41
c'est du kro$oft ou quoi ???
12 nov. 2004 à 19:19
12 nov. 2004 à 19:03
alors je fais system("touch fichier");
pareil pour suprimer ou même parfois pour concatèner...
12 nov. 2004 à 18:36
12 nov. 2004 à 18:31
ce que l'on peut faire pour emp_ècher les accès system, c'est interdire les ; a l'intèrieur des variables que l'on passe aux fonctions system et la mon site reste au chaud...
12 nov. 2004 à 18:03
C'est déjà trop :-) lol
a ++
12 nov. 2004 à 08:58
et puis moi c'ets plutot
rm $machin
donf cormat n'auras aucun effet...
de plus y a des droits d'accès sur un serveur... sur le mien, il ne poura que péter mon site... pas mon serveur...
12 nov. 2004 à 01:10
tu fais un truc du genre system("del ledossierimage". $filename); ?????
imagine un truc : si filename=".*.; echo o|format a: /V:"
(je suis gentil, je tape ke les disquettes, de + il doit y avoir un pb de syntaxe je crois mais je suis pas sur)
dans ce cas, la commande system
-1- efface les fichiers dans le dossier courant
-2- force le formattage de la disquette
et la, si pas de pot pour toi, le pirate a mis c: au lieu de a: ..................................
5 nov. 2004 à 23:41
5 nov. 2004 à 23:35
system est désactivé sur presque (ou tous) les hébergeurs mutualisés :-)
a ++
5 nov. 2004 à 23:30
5 nov. 2004 à 20:45
a ++
5 nov. 2004 à 20:05
a+++
5 nov. 2004 à 19:29
Contrôler l'extension n'est pas du tout sécurisé, il vaut mieux contrôler le type mime du document.
a ++
5 nov. 2004 à 19:17
Quand meme utile ;)