logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Programmation - Scripting, langages interprétés >> Faille include Newtopic | Reply
poster txt
franck
Inscrit le 27-04-2006
Posté le 19-05-2006 17:08

Quand j'ai découvert qu'on pouvait inclure du code sur un site, qu'est-ce que je peux mettre comme bouts de code ?
profil | edit | quote
solo
Inscrit le 01-12-2005
Posté le 19-05-2006 17:42

une backdoor php ou un tuto pour expliquer a l'admin de mieux securiser son site
Et aussi lire un mieux les tuto sur les failles include qui pullulle sur le web ( ta question laisse pensee que tu n'as pas vraiment fait des recherche )

[ Ce Message a été édité par: solo le 2006-05-19 17:45 ]
profil | edit | quote
z0biw@n
Inscrit le 23-06-2006
Posté le 29-06-2006 00:03

Déjà renseignes toi sur la fonction Include();.
C'est mieux ^^
profil | edit | quote
Tristella91
Inscrit le 10-07-2006
Posté le 10-07-2006 14:56

la fonction include en fait c'est une faille si tu vérifies pas quelle page est à inclure...
Code:
include($_GET['page'])


ça c'est une faille car tu peux inclure une page qui vient d'un otre site et donc exécuter du code php sur le serveur du site que tu veux hacker, mais sa :
Code:
include("./" . $_GET['page'])


c'est pas une faille include, car tu peux pas inclure de lien http:// ou ftp:// !!
profil | edit | quote
Chronos
Inscrit le 10-05-2005
Posté le 10-07-2006 21:30

donc la faille include n'est pas une faille mais plutot un problème au niveau du mec qui code
profil | edit | quote
Zamer
Inscrit le 11-01-2002
Posté le 11-07-2006 21:04

Cela change évidemment tout
profil | Website | MSN | edit | quote
tweakie
Inscrit le 01-02-2002
Posté le 13-07-2006 00:30

Quote:

(...) mais sa :
Code:
include("./" . $_GET['page'])


c'est pas une faille include, car tu peux pas inclure de lien http:// ou ftp:// !!



Si, car il est toujours possible d'inclure des fichiers qui ne devraient pas etre accessible via le serveur web (e.g. contournement de .htaccess). Il est meme souvent possible d'executer du code PHP en incluant un fichier de log (exemple: l'access_log d'apache, mais ca fonctionne aussi avec d'autres services) dans lequel on aurait au prealable injecte' du code php.

Mais je suis sur que cette technique a deja ete' traitee sur ce forum. Voir par exemple dans le post de Savory, dans ce thread:
https://www.newffr.com/viewtopic.php?topic=9534&forum=26
_________________________
Un peu de science vaut mieux que beaucoup de dévotion
profil | Website | edit | quote
Borax
Inscrit le 24-08-2001
Avatar
Posté le 13-07-2006 13:04

Bah faites une recherche sur un article qui expliquait comment madchat avait été deface. Je crois qu'il s'intitulait "Mind over machine jesaisplusquoi", et qu'il a été publié, si je ne m'abuse, vers les années 1999-2000.

Grosso-modo, il y avait moyen d'écrire dans les logs apache, puis d'exécuter le contenu du log via un include sur la variable K. Ce qui revient à ce que disait tweakie.

Faut fouiner dans des répos, il doit encore être disponible.

En fait :
http://www-src.lip6.fr/homepages/Fabrice.Legond-Aubry/www.ouah.org/art001.txt
_________________________
Borax.
profil | Website | edit | quote
Newtopic | Reply

Online : Brandonjet, Brianded, davetuk, DennyPoits, eforemupju, enixuyeja, etuwaos, icahoqiekagi, isifaodewa, JamesAcisk, LarryInart, olehiti, quiqueFingich, SonjaOrigh, ucohemayor, unlivette, varaben et 40 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page