A moins de le faire expres, aucun risque que ca tarrives avec rails. Mais c classique en php. Je ne dirai pas pourquoi, je te laisse deviner :)))) On Jul 31, 2014 6:27 PM, "Olivier El Mekki" <[email protected]> wrote:
> Hello, > > Ça s'appelle un LFI (pour Local File Inclusion) : > https://en.wikipedia.org/wiki/File_inclusion_vulnerability > > Ça ne devrait pas poser de problème, tu n'y est vulnérable que si tu > essaie de loader des fichiers depuis les paramètres de l'url, du genre: > > require params[ :my_param ] > > > C'était une attaque dangereuse au début de l'histoire de php, quand les > sites étaient architecturés de manière à décider quel fichier loader sur > la base d'un paramètre, avant qu'on ne fasse de la réécriture d'url et > des routes. Du genre : > > # index.php > load( "pages/" . $_GET[ 'page' ] ); > > > Ça ne devrait pas être un problème pour toi. > > > On Thursday, July 31, 2014 12:21:15 PM UTC+2, Guirec Corbel wrote: >> >> Bonjour, >> >> Hier soir, un de mes sites a été victime d'une attaque. Le programme >> voulant hacker essai d'accéder à "/etc/passwd" en essayant des url de ce >> type : >> "/provider_profiles/new?service_id=../../../../../../../../../../etc/passwd%00" >> >> ou >> "/index.php?page=/../../../../../../../../../../etc/passwd%00&artiste_id=12". >> >> >> Avez-vous déjà été victime de ceci? Comment bien le gérer? >> >> Cette attaque me fait poser une question. J'imagine que ce n'est pas >> génial d'utiliser les paramètres du type "artist_id=12". Est-ce un bonne >> pratique d'utiliser un token ou friendly id à chaque fois? >> >> Bonne journée à tous, >> Guirec. >> > -- > -- > Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de > Google Groups. > Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse > [email protected] > Pour résilier votre abonnement envoyez un e-mail à l'adresse > [email protected] > --- > Vous recevez ce message, car vous êtes abonné au groupe Google Groupes > "Railsfrance". > Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le > concernant, envoyez un e-mail à l'adresse > [email protected]. > Pour obtenir davantage d'options, consultez la page > https://groups.google.com/d/optout. > -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected] --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse [email protected]. Pour plus d'options, visitez le site https://groups.google.com/d/optout .
