Ok merci. C'est ce que je pensais. Je n'aurais pas du faire ce script qui reconnais "passwd" dans l'url et donne tout les mots de passes...
Ça ne vous dérange vraiment pas plus que ça de mettre des ID dans les paramètre de l'url? Au niveau des droits, j'utilise Cancan, de Ryan Bates (reviens Ryan!). Le 31 juillet 2014 06:42, Florian Dutey <fdu...@gmail.com> a écrit : > A moins de le faire expres, aucun risque que ca tarrives avec rails. > > Mais c classique en php. Je ne dirai pas pourquoi, je te laisse deviner > :)))) > On Jul 31, 2014 6:27 PM, "Olivier El Mekki" <oelme...@gmail.com> wrote: > >> Hello, >> >> Ça s'appelle un LFI (pour Local File Inclusion) : >> https://en.wikipedia.org/wiki/File_inclusion_vulnerability >> >> Ça ne devrait pas poser de problème, tu n'y est vulnérable que si tu >> essaie de loader des fichiers depuis les paramètres de l'url, du genre: >> >> require params[ :my_param ] >> >> >> C'était une attaque dangereuse au début de l'histoire de php, quand les >> sites étaient architecturés de manière à décider quel fichier loader sur >> la base d'un paramètre, avant qu'on ne fasse de la réécriture d'url et >> des routes. Du genre : >> >> # index.php >> load( "pages/" . $_GET[ 'page' ] ); >> >> >> Ça ne devrait pas être un problème pour toi. >> >> >> On Thursday, July 31, 2014 12:21:15 PM UTC+2, Guirec Corbel wrote: >>> >>> Bonjour, >>> >>> Hier soir, un de mes sites a été victime d'une attaque. Le programme >>> voulant hacker essai d'accéder à "/etc/passwd" en essayant des url de ce >>> type : >>> "/provider_profiles/new?service_id=../../../../../../../../../../etc/passwd%00" >>> >>> ou >>> "/index.php?page=/../../../../../../../../../../etc/passwd%00&artiste_id=12". >>> >>> >>> Avez-vous déjà été victime de ceci? Comment bien le gérer? >>> >>> Cette attaque me fait poser une question. J'imagine que ce n'est pas >>> génial d'utiliser les paramètres du type "artist_id=12". Est-ce un bonne >>> pratique d'utiliser un token ou friendly id à chaque fois? >>> >>> Bonne journée à tous, >>> Guirec. >>> >> -- >> -- >> Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" >> de Google Groups. >> Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse >> railsfrance@googlegroups.com >> Pour résilier votre abonnement envoyez un e-mail à l'adresse >> railsfrance-unsubscr...@googlegroups.com >> --- >> Vous recevez ce message, car vous êtes abonné au groupe Google Groupes >> "Railsfrance". >> Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le >> concernant, envoyez un e-mail à l'adresse >> railsfrance+unsubscr...@googlegroups.com. >> Pour obtenir davantage d'options, consultez la page >> https://groups.google.com/d/optout. >> > -- > -- > Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de > Google Groups. > Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > railsfrance@googlegroups.com > Pour résilier votre abonnement envoyez un e-mail à l'adresse > railsfrance-unsubscr...@googlegroups.com > --- > Vous recevez ce message, car vous êtes abonné au groupe Google Groupes > "Railsfrance". > Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le > concernant, envoyez un e-mail à l'adresse > railsfrance+unsubscr...@googlegroups.com. > Pour obtenir davantage d'options, consultez la page > https://groups.google.com/d/optout. > -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse railsfrance@googlegroups.com Pour résilier votre abonnement envoyez un e-mail à l'adresse railsfrance-unsubscr...@googlegroups.com --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse railsfrance+unsubscr...@googlegroups.com. Pour plus d'options, visitez le site https://groups.google.com/d/optout .
