Piwigo.org

fureteur · 2003-03-24 21:17:20

XSS = Cross Scripting

j'en sais pas plus, j'ai montré la capture d'écran à un collègue, et d'entrée il m'as répondu, c'est du xss, en clair, cross scripting...

plg · 2003-03-24 21:36:23

oui, c'est tout à fait ça, du cross-scripting. Ce n'est donc pas à la portée de tout le monde, mais si qqun veut *vraiment* voir vos identifiants de connexion, il sera en mesure de le faire

fureteur · 2003-03-24 21:43:49

Ok, j'ai corrigé les pages.

Par contre dans init.inc.php, je n'ai pastrouvé la ligne 17, j'ai ajouté la ligne que tu as donné, et j'ai modifié également les 2 lignes après, ce qui donne ça maintenant :

* *
***************************************************************************/
define( PREFIXE_INCLUDE, '');
include_once( PREFIXE_INCLUDE."./include/config.inc.php" );
include_once( PREFIXE_INCLUDE."./include/user.inc.php" );

était-ce utile ?

Tout est entré dans l'ordre, l'hébergeur a réactivé les dns et le site, vu, après enquête que j'y étais pour rien. En tous cas merci z0rglub d'avoir trouvé la soluce si vite ! Génial ! :D

Guest_TNorth · 2003-03-29 15:12:34

Heu... maintenant c'est possible de savoir comment le pirate s'y est pris ?
Je débute en PHP et j'aimerais savoir quelles mesures de sécurité il faut prendre...
Merci
(si tu préfères : tnorth_AT_bluewin.ch)

plg · 2003-03-31 09:36:47

http://forum.hardware.fr/forum2.php3?po … amp;cat=10

Guest_TNorth · 2003-03-31 15:53:30

Ok je commence à comprendre gentillement...
8O 8O 8O
Je pensais pas que ça soit si sensible, un script PHP !
Donc il faut vraiment tout prévoir ?!
C'est fou le nombre de choses qu'il faut penser avant de publier un script.... Je vais remplacer tous les include alors...
Merci :D

joseph · 2003-04-26 15:50:10

hmmmm...
Bon finalement je crois que la galerie en question on vas la jarreté pasque la ça devien dangerous ont dirait désolé pour ce superscript...

joseph · 2003-04-26 15:51:27

et tan-pis pour mes question sans réponse !
astalavisita! :o

z0rglub@family · 2003-04-26 17:08:27

hmmmm...
Bon finalement je crois que la galerie en question on vas la jarreté pasque la ça devien dangerous ont dirait désolé pour ce superscript...

ben tu fais as you wish :)

Juste que je donne la soluce pour corriger le problème et que la version actuellement disponible au téléchargement est exempte de cette faille de sécu. Mais c'est clair qu'à l'avenir on trouvera surement encore d'autres failles. C'est un script open source, on trouve les failles mais lorsqu'elles sont trouvées on fournit un patch rapidement.

elari · 2003-05-13 09:54:22

pour plus de secu j'ai rajoute ca comme .htaccess

dans admin

AuthName "My Tools ....are private."
AuthType Basic
AuthUserFile .htpasswd
require valid-user

et dans tous les autres rep

# This is used with Apache WebServers
# The following blocks direct HTTP requests in this directory recursively
#
# For this to work, you must include the parameter 'Limit' to the AllowOverride configuration
#
# Example:
#
#<Directory "/usr/local/apache/htdocs">
# AllowOverride Limit
#
# 'All' with also work. (This configuration is in your apache/conf/httpd.conf file)
#
# This does not affect PHP include/require functions
#

<Files *.php>
Order Deny,Allow
Deny from all
</Files>

Piwigo.org

Annonce

#16 2003-03-24 21:17:20

Re: Faille Permettant De Voir Les Logins

#17 2003-03-24 21:36:23

Re: Faille Permettant De Voir Les Logins

#18 2003-03-24 21:43:49

Re: Faille Permettant De Voir Les Logins

#19 2003-03-29 15:12:34

Re: Faille Permettant De Voir Les Logins

#20 2003-03-31 09:36:47

Re: Faille Permettant De Voir Les Logins

#21 2003-03-31 15:53:30

Re: Faille Permettant De Voir Les Logins

#22 2003-04-26 15:50:10

Re: Faille Permettant De Voir Les Logins

#23 2003-04-26 15:51:27

Re: Faille Permettant De Voir Les Logins

#24 2003-04-26 17:08:27

Re: Faille Permettant De Voir Les Logins

#25 2003-05-13 09:54:22

Re: Faille Permettant De Voir Les Logins

Pied de page des forums