clembobo
 14 
| ![]() Posté : 12-06-2002 14:42
bonjour
j'ai plusieurs potes hackers a ki g demandé de faire des tests sur le portail et celui ci s'est avéré plein de trous de sécurité.
on commence les détails :
- nimporte qui, par exemple peux écrire des messages sur le chat box avec nimporte quel pseudo (dans ce cas précis il a utilisé celui de l'admin)
- nimporte qui peut connaitre le chemin ou est le portail sur le disque dur du server en mettant des ' dans les liens par exemple script?action='principal
-> Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /usr/local/www/data.users/monsiteee/www/sdv.php on line 92
- nimporte qui, peut rajouter des news et plein dautre trucs
bon bref je vous ai cité que ca mais yen a plein dautre par exemple il a modifier mon fichier config.php sans avoir AUCUN mot de passe (admin, mysql, ftp) c'est bien que c'est une défaillance du portail.
plusieurs de ces actions ont été faites grace à la faille d'include, en effet il a inclut un fichier php qui été sur son site sur free.fr à un fichier de mon portail, et cela ajouter des données dans la base mysql.
Je te remercie de me répondre le + rapidement et de faire les patchs assez rapidement ou alors de sortir une nouvelle version completement sécurisée parce que de ce que j'ai vu ... c'est vraiment fiasco de failles (j'en veut pas a ton travail, je dit ca dans lintention de sécuriser le portail au plus vite pour que tout le monde soit - inquiet)
Aller a++ (et au passage tu pourrai détailler avec exactititude les CHMOD a appliquer sur tel ou tel fichier ? je pense que ce serait pas mal)
[ Message édité par : clembobo : 12-06-2002 14:43 ] |
