Et effectivement l'exemple PHP d'Olivier est mieux que le mien (du moins ça arrivait plus souvent qu'un File.open() en Ruby...).
2014-07-31 12:28 GMT+02:00 Michael Baudino <michael.baud...@alpine-lab.com>: > Salut Guirec, > > Cette attaque mise sur le fait que tu aies un > File.open(params[:service_id]) dans ton controlleur. Si ce n'est pas le > cas, rien à craindre. > Et le %00, c'est pour contrer la bonne idée que tu aurais de faire un > File.open("#{params[:service_id]}.pdf") par exemple (l'attaquant peut ainsi > ouvrir n'importe quel fichier sans le `.pdf` que tu ajoutes dans ton code). > > C'est vieux comme le monde, mais les scanners de vulnerabilités le testent > encore, on ne sait jamais ;-) > Il n'y a pas matière à s'inquiéter. > > > 2014-07-31 12:21 GMT+02:00 Guirec Corbel <guirec.cor...@gmail.com>: > > Bonjour, >> >> Hier soir, un de mes sites a été victime d'une attaque. Le programme >> voulant hacker essai d'accéder à "/etc/passwd" en essayant des url de ce >> type : >> "/provider_profiles/new?service_id=../../../../../../../../../../etc/passwd%00" >> ou "/index.php?page=/../../../../../../../../../../etc/passwd% >> 00&artiste_id=12". >> >> Avez-vous déjà été victime de ceci? Comment bien le gérer? >> >> Cette attaque me fait poser une question. J'imagine que ce n'est pas >> génial d'utiliser les paramètres du type "artist_id=12". Est-ce un bonne >> pratique d'utiliser un token ou friendly id à chaque fois? >> >> Bonne journée à tous, >> Guirec. >> >> -- >> -- >> Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" >> de Google Groups. >> Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse >> railsfrance@googlegroups.com >> Pour résilier votre abonnement envoyez un e-mail à l'adresse >> railsfrance-unsubscr...@googlegroups.com >> --- Vous recevez ce message, car vous êtes abonné au groupe Google >> Groupes Railsfrance. >> Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le >> concernant, envoyez un e-mail à l'adresse railsfrance+unsubscribe@ >> googlegroups.com. >> Pour plus d'options, visitez le site https://groups.google.com/d/optout . >> > > > > -- > Michael Baudino > @michaelbaudino > +33 (0) 7.61.90.93.62 > Alpine Lab > 1 rue de la Martinière > 69001 Lyon > -- Michael Baudino @michaelbaudino +33 (0) 7.61.90.93.62 Alpine Lab 1 rue de la Martinière 69001 Lyon -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse railsfrance@googlegroups.com Pour résilier votre abonnement envoyez un e-mail à l'adresse railsfrance-unsubscr...@googlegroups.com --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse railsfrance+unsubscr...@googlegroups.com. Pour plus d'options, visitez le site https://groups.google.com/d/optout .