Écrire une réponse

Veuillez écrire votre message et l'envoyer

Cliquez dans la zone sombre de l'image pour envoyer votre message.

Retour

Résumé de la discussion (messages les plus récents en premier)

elari
2003-05-13 09:54:22

pour plus de secu j'ai rajoute ca comme .htaccess

dans admin

AuthName "My Tools ....are private."
AuthType Basic
AuthUserFile .htpasswd
require valid-user

et dans tous les autres rep

# This is used with Apache WebServers
# The following blocks direct HTTP requests in this directory recursively
#
# For this to work, you must include the parameter 'Limit' to the AllowOverride configuration
#
# Example:
#
#<Directory "/usr/local/apache/htdocs">
#  AllowOverride Limit
#
# 'All' with also work. (This configuration is in your apache/conf/httpd.conf file)
#
# This does not affect PHP include/require functions
#

<Files *.php>
Order Deny,Allow
Deny from all
</Files>

z0rglub@family
2003-04-26 17:08:27

hmmmm...
Bon finalement je crois que la galerie en question on vas la jarreté pasque la ça devien dangerous ont dirait  désolé pour ce superscript...

ben tu fais as you wish  :)

Juste que je donne la soluce pour corriger le problème et que la version actuellement disponible au téléchargement est exempte de cette faille de sécu. Mais c'est clair qu'à l'avenir on trouvera surement encore d'autres failles. C'est un script open source, on trouve les failles mais lorsqu'elles sont trouvées on fournit un patch rapidement.

joseph
2003-04-26 15:51:27

et tan-pis pour mes question sans réponse !
astalavisita! :o 

joseph
2003-04-26 15:50:10

hmmmm...
Bon finalement je crois que la galerie en question on vas la jarreté pasque la ça devien dangerous ont dirait  désolé pour ce superscript...

Guest_TNorth
2003-03-31 15:53:30

Ok je commence à comprendre gentillement...
8O  8O  8O
Je pensais pas que ça soit si sensible, un script PHP !
Donc il faut vraiment tout prévoir ?!
C'est fou le nombre de choses qu'il faut penser avant de publier un script.... Je vais remplacer tous les include alors...
Merci :D 

Guest_TNorth
2003-03-29 15:12:34

Heu... maintenant c'est possible de savoir comment le pirate s'y est pris ?
Je débute en PHP et j'aimerais savoir quelles mesures de sécurité il faut prendre...
Merci
(si tu préfères : tnorth_AT_bluewin.ch)

fureteur
2003-03-24 21:43:49

Ok, j'ai corrigé les pages.

Par contre dans init.inc.php, je n'ai pastrouvé la ligne 17, j'ai ajouté la ligne que tu as donné, et j'ai modifié également les 2 lignes après, ce qui donne ça maintenant :

*                                                                         *
***************************************************************************/
    define( PREFIXE_INCLUDE, '');
    include_once( PREFIXE_INCLUDE."./include/config.inc.php" );
    include_once( PREFIXE_INCLUDE."./include/user.inc.php" );

était-ce utile ?

Tout est entré dans l'ordre, l'hébergeur a réactivé les dns et le site, vu, après enquête que j'y étais pour rien. En tous cas merci z0rglub d'avoir trouvé la soluce si vite ! Génial !  :D 

plg
2003-03-24 21:36:23

oui, c'est tout à fait ça, du cross-scripting. Ce n'est donc pas à la portée de tout le monde, mais si  qqun veut *vraiment* voir vos identifiants de connexion, il sera en mesure de le faire

fureteur
2003-03-24 21:17:20

XSS = Cross Scripting

j'en sais pas plus, j'ai montré la capture d'écran à un collègue, et d'entrée il m'as répondu, c'est du xss, en clair, cross scripting...

darthmamour
2003-03-24 17:28:30

epingle le sujet ca peut toujours servir!

plg
2003-03-24 17:06:56

Il s'agit du xss c'est ça, d'après ce que l'on m'a dit ?

euh, c'est quoi le xss ?

Guest_fureteur
2003-03-24 15:21:50

  :D

Merci pour ton intérêt au pb et ton remède rapidement trouvé.

Il s'agit du xss c'est ça, d'après ce que l'on m'a dit ?

plg
2003-03-24 13:18:34

Code:

              --------------------------------------------------
              /!\  Faille de sécurité dans PhpWebGallery 1.2 /!\
              --------------------------------------------------

Une faille de sécurité dans la version 1.2 de PhpWebGallery 1.2 permet de
récupérer vos informations de connexion à votre base de données (login +
password). Cette faille n'est pas facilement exploitable, mais il est tout de
même important de faire les modifications en conséquence. 3 fichiers sont à
éditer :
 1. /include/config.inc.php
 2. /include/init.inc.php
 3. /admin/include/isadmin.inc.php

--------------------------
1. /include/config.inc.php
--------------------------
remplacer (ligne 23 environ) :
  include_once( $prefixe_include."./include/mysql.inc.php" );
  include_once( $prefixe_include."./include/functions.php" );
par :
  include_once( PREFIXE_INCLUDE."./include/mysql.inc.php" );
  include_once( PREFIXE_INCLUDE."./include/functions.php" );

------------------------
2. /include/init.inc.php
------------------------
remplacer (ligne 17 environ) :
  $prefixe_include = "";
par :
  define( PREFIXE_INCLUDE, '');

---------------------------------
2. /admin/include/isadmin.inc.php
---------------------------------
remplacer (ligne 17 environ) :
  $prefixe_include = ".";
par
  define( PREFIXE_INCLUDE, '.');
Lespi0n
2003-03-24 12:41:00

Merci pour ta réactivité :D

Lespi0n

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact