Hello,
Ça s'appelle un LFI (pour Local File Inclusion) :
https://en.wikipedia.org/wiki/File_inclusion_vulnerability
Ça ne devrait pas poser de problème, tu n'y est vulnérable que si tu
essaie de loader des fichiers depuis les paramètres de l'url, du genre:
require params[ :my_param ]
C'était une attaque dangereuse au début de l'histoire de php, quand les
sites étaient architecturés de manière à décider quel fichier loader sur
la base d'un paramètre, avant qu'on ne fasse de la réécriture d'url et
des routes. Du genre :
# index.php
load( "pages/" . $_GET[ 'page' ] );
Ça ne devrait pas être un problème pour toi.
On Thursday, July 31, 2014 12:21:15 PM UTC+2, Guirec Corbel wrote:
>
> Bonjour,
>
> Hier soir, un de mes sites a été victime d'une attaque. Le programme
> voulant hacker essai d'accéder à "/etc/passwd" en essayant des url de ce
> type :
> "/provider_profiles/new?service_id=../../../../../../../../../../etc/passwd%00"
>
>
> ou
> "/index.php?page=/../../../../../../../../../../etc/passwd%00&artiste_id=12".
>
>
> Avez-vous déjà été victime de ceci? Comment bien le gérer?
>
> Cette attaque me fait poser une question. J'imagine que ce n'est pas
> génial d'utiliser les paramètres du type "artist_id=12". Est-ce un bonne
> pratique d'utiliser un token ou friendly id à chaque fois?
>
> Bonne journée à tous,
> Guirec.
>
--
--
Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de
Google Groups.
Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse
[email protected]
Pour résilier votre abonnement envoyez un e-mail à l'adresse
[email protected]
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes
Railsfrance.
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant,
envoyez un e-mail à l'adresse [email protected].
Pour plus d'options, visitez le site https://groups.google.com/d/optout .
