On Friday 09 October 2015 15:39:57 Sylvain L. Sauvage wrote: > Le vendredi 9 octobre 2015, 14:47:01 andre_deb...@numericable.fr > a écrit : > > Merci de la piqûre de rappel ci-dessous concernant les > > langages dynamiques Web. > > Les documents sur la sécurité abondent en ce sens, > > dont surtout la réinjection de codes dans les pages Web. > > La question initiale était : > > /index.php?rev=../../../../../../../../../etc/passwd > > HTTP Response 200, possible tentatives avec succès..." > > Mais rien n'empêche de taper directement ceci : > > "www.monsite.com/../../../../... /etc/passwd > > Le fait d'avoir une page d'index ou non, > > "/index.php?rev=../../../../../../../../../etc/passwd" > > ne doit pas changer grand chose...
> Ok, donc, malgré tout ce qui a été dit dans ce fil, tu n’as > pas compris le protocole HTTP : ces requêtes ne sont pas > équivalentes. > Passer par un fichier PHP mal écrit qui va pouvoir lire > n’importe quel fichier sur ta machine si on lui passe un chemin > dans le bon paramètre n’est pas équivalent à faire une requête > que le serveur va savoir refuser. À moins que celui qui a écrit > le fichier PHP moisi soit aussi celui qui a écrit le serveur > HTTP, ce dernier n’acceptera pas d’aller remonter plus haut que > sa racine (p.ex. /var/www). > celui qui a écrit le fichier PHP moisi soit aussi celui qui a > écrit le serveur HTTP : ça veut dire quoi "écrire le serveur HTTP" ? Qu'en sais tu que mes scripts PHP sont moisis ? (humm, en plus le terme "moisi" ne va pas... plutôt "édulcoré"). Jje me vois répondre par une polémique sur la validité de mes scripts, php, page d'index, variables, écriture HTTP, moisis... ! qu'en sais tu ? Je ré-explique la problèmatique par comparaison : je monte dans ma voiture la matin qui possède un logwatch de sécurité. Il m'annonce "qu'une tentative d'intrusion" a eu lieu à 03h40, code 200. Je pose la question : y a t-il eu "une tentative d'intrusion" ou "une intrusion" ? Si "tentative d'intrusion", la sécurité de ma voiture n'est pas moisie, si "intrusion réussie" : oui, elle est moisie (scripts édulcorés). Je voulais donc juste savoir si le fichier "/etc/passwd" a été téléchargé ou pas, point. Bien lire la demande d'un membre de la liste est très important. André