Bonjour Alexandre.
Le 7 novembre 2013 12:26, Alexandre <[email protected]> a écrit : > Bonjour, > > Visiblement on peut inclure du PHP dans un fichier .htaccess: > > > https://github.com/wireghoul/htshells/blob/master/shell/mod_php.shell.htaccess > > Puisque Apache est le serveur web par défaut de beaucoup de gens, il serait > sans doute intéressant d'y remédier. > On peut exécuter du php dans un fichier .htaccess à condition de dire à apache que ce fichier doit être interprété comme un fichier php ! > > La correction pourrait se faire ici : > > http://dev.dotclear.org/2.0/browser/inc/core/class.dc.core.php#L1298 > > En remplaçant /\.php$/i par /^\.ht|\.php$/i voire même par > /^\.ht|\.php\d?$/i. > Et si j'ai un fichier légitime tel que .htoo.jpg ? > > Je crois qu'à l'époque il y avait un petit débat sur ce paramètre > media_exclusion ; ce n'est pas une vulnérabilité de Dotclear, mais plutôt > une erreur de celui qui installe/configure Dotclear. Mais l'argument, je > crois, c'était que ça risquait d'arriver à des gens. > Oui comme les virus belges. Cela peut arriver à des gens mais pas tout à fait contre leur volonté ! :-) Donc pour être plus concret, je ne vois pas l'intérêt de rajouter des verrues dans le code pour se protéger de ce genre de choses. Après si j'ai raté quelque chose, merci de me dire. Nicolas -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
