pour plus de secu j'ai rajoute ca comme .htaccess
dans admin
AuthName "My Tools ....are private."
AuthType Basic
AuthUserFile .htpasswd
require valid-user
et dans tous les autres rep
# This is used with Apache WebServers
# The following blocks direct HTTP requests in this directory recursively
#
# For this to work, you must include the parameter 'Limit' to the AllowOverride configuration
#
# Example:
#
#<Directory "/usr/local/apache/htdocs">
# AllowOverride Limit
#
# 'All' with also work. (This configuration is in your apache/conf/httpd.conf file)
#
# This does not affect PHP include/require functions
#
<Files *.php>
Order Deny,Allow
Deny from all
</Files>
hmmmm...
Bon finalement je crois que la galerie en question on vas la jarreté pasque la ça devien dangerous ont dirait désolé pour ce superscript...
ben tu fais as you wish :)
Juste que je donne la soluce pour corriger le problème et que la version actuellement disponible au téléchargement est exempte de cette faille de sécu. Mais c'est clair qu'à l'avenir on trouvera surement encore d'autres failles. C'est un script open source, on trouve les failles mais lorsqu'elles sont trouvées on fournit un patch rapidement.
et tan-pis pour mes question sans réponse !
astalavisita! :o
hmmmm...
Bon finalement je crois que la galerie en question on vas la jarreté pasque la ça devien dangerous ont dirait désolé pour ce superscript...
Ok je commence à comprendre gentillement...
8O 8O 8O
Je pensais pas que ça soit si sensible, un script PHP !
Donc il faut vraiment tout prévoir ?!
C'est fou le nombre de choses qu'il faut penser avant de publier un script.... Je vais remplacer tous les include alors...
Merci :D
Heu... maintenant c'est possible de savoir comment le pirate s'y est pris ?
Je débute en PHP et j'aimerais savoir quelles mesures de sécurité il faut prendre...
Merci
(si tu préfères : tnorth_AT_bluewin.ch)
Ok, j'ai corrigé les pages.
Par contre dans init.inc.php, je n'ai pastrouvé la ligne 17, j'ai ajouté la ligne que tu as donné, et j'ai modifié également les 2 lignes après, ce qui donne ça maintenant :
* *
***************************************************************************/
define( PREFIXE_INCLUDE, '');
include_once( PREFIXE_INCLUDE."./include/config.inc.php" );
include_once( PREFIXE_INCLUDE."./include/user.inc.php" );
était-ce utile ?
Tout est entré dans l'ordre, l'hébergeur a réactivé les dns et le site, vu, après enquête que j'y étais pour rien. En tous cas merci z0rglub d'avoir trouvé la soluce si vite ! Génial ! :D
oui, c'est tout à fait ça, du cross-scripting. Ce n'est donc pas à la portée de tout le monde, mais si qqun veut *vraiment* voir vos identifiants de connexion, il sera en mesure de le faire
XSS = Cross Scripting
j'en sais pas plus, j'ai montré la capture d'écran à un collègue, et d'entrée il m'as répondu, c'est du xss, en clair, cross scripting...
epingle le sujet ca peut toujours servir!
Il s'agit du xss c'est ça, d'après ce que l'on m'a dit ?
euh, c'est quoi le xss ?
:D
Merci pour ton intérêt au pb et ton remède rapidement trouvé.
Il s'agit du xss c'est ça, d'après ce que l'on m'a dit ?
-------------------------------------------------- /!\ Faille de sécurité dans PhpWebGallery 1.2 /!\ -------------------------------------------------- Une faille de sécurité dans la version 1.2 de PhpWebGallery 1.2 permet de récupérer vos informations de connexion à votre base de données (login + password). Cette faille n'est pas facilement exploitable, mais il est tout de même important de faire les modifications en conséquence. 3 fichiers sont à éditer : 1. /include/config.inc.php 2. /include/init.inc.php 3. /admin/include/isadmin.inc.php -------------------------- 1. /include/config.inc.php -------------------------- remplacer (ligne 23 environ) : include_once( $prefixe_include."./include/mysql.inc.php" ); include_once( $prefixe_include."./include/functions.php" ); par : include_once( PREFIXE_INCLUDE."./include/mysql.inc.php" ); include_once( PREFIXE_INCLUDE."./include/functions.php" ); ------------------------ 2. /include/init.inc.php ------------------------ remplacer (ligne 17 environ) : $prefixe_include = ""; par : define( PREFIXE_INCLUDE, ''); --------------------------------- 2. /admin/include/isadmin.inc.php --------------------------------- remplacer (ligne 17 environ) : $prefixe_include = "."; par define( PREFIXE_INCLUDE, '.');
Merci pour ta réactivité :D
Lespi0n