Le 9 octobre 2015 16:24, Dominique Asselineau
a écrit :
> Un script peut tout à fait retourner une réponse HTTP autre que 200.
> C'est ce que je fais lorsqu'on demande une ressource qui n'existe pas
> ou qui n'est pas autorisée pour la requête.
Certes...mais il y a des cas où il vaut mieux retourner 200 tout le
temps. Après tout, index.php existe, l'URL est donc correcte, donc 404
n'est pas tout à fait une réponse adaptée.
Quand un robot fait du
sondage en masse, lui retourner un code d'erreur sauf si ça tappe
juste peut l'aider à trouver.
Par exemple, renvoyer un 200 uniquement en cas de succès de login est
de nature à faciliter les attaques en force...
Le 9 octobre 2015 16:24, Dominique Asselineau
<asseline@telecom-paristech.fr> a écrit :
> Un script peut tout à fait retourner une réponse HTTP autre que 200.
> C'est ce que je fais lorsqu'on demande une ressource qui n'existe pas
> ou qui n'est pas autorisée pour la requête.
Certes...mais il y a des cas où il vaut mieux retourner 200 tout le
temps. Après tout, index.php existe, l'URL est donc correcte, donc 404
n'est pas tout à fait une réponse adaptée.
Quand un robot fait du
sondage en masse, lui retourner un code d'erreur sauf si ça tappe
juste peut l'aider à trouver.
Par exemple, renvoyer un 200 uniquement en cas de succès de login est
de nature à faciliter les attaques en force...
Le 9 octobre 2015 16:24, Dominique Asselineau
a écrit :
> Un script peut tout à fait retourner une réponse HTTP autre que 200.
> C'est ce que je fais lorsqu'on demande une ressource qui n'existe pas
> ou qui n'est pas autorisée pour la requête.
Certes...mais il y a des cas où il vaut mieux retourner 200 tout le
temps. Après tout, index.php existe, l'URL est donc correcte, donc 404
n'est pas tout à fait une réponse adaptée.
Quand un robot fait du
sondage en masse, lui retourner un code d'erreur sauf si ça tappe
juste peut l'aider à trouver.
Par exemple, renvoyer un 200 uniquement en cas de succès de login est
de nature à faciliter les attaques en force...
Le vendredi 9 octobre 2015, 16:24:00 Dominique Asselineau a
écrit :
>[???]
> > D???un point de vue réponse HTTP, ces deux scripts vont
> > générer un 200 de la part du serveur HTTP : le fichier
> > 'index.php' a été exécuté et renvoie un contenu.
>
> Un script peut tout à fait retourner une réponse HTTP autre
> que 200. C'est ce que je fais lorsqu'on demande une ressource
> qui n'existe pas ou qui n'est pas autorisée pour la requête.
Oui. Je donnais juste l???exemple de ces deux scripts : moisi et
moins-moisi.
On pourrait aller plus loin dans les détails et les
possibilités, p.ex. les redirections, les réécritures, ce que
veut dire « exécuter un script », etc. Mais bon, vu la longueur
du fil, les multiples explications, pour arriver à
« index.php?bla et /bla, c???est pareil », on se dit qu???il vaut
mieux rester simple???
> Quant aux scripts qui font des includes sur des fichiers dont
> l'adresse est passée en paramètre et sans vérification... ça
> me laisse pantois. Il y en a même qui laissent faire des
> includes sur des URL... Ce qui permet à un spameur de faire
> tourner un moulin à spams chez vous avec votre bande passante
> et surtout votre responsabilité.
>
> Faire vraiment attention aux gentils scripts qui veulent vous
> rendre mille services sans vous dire ce que fait le mille et
> unième.
J???aimais bien l???époque des premiers CGI, en shell, c???était si
facile de se pendre avec ;o)
Le vendredi 9 octobre 2015, 16:24:00 Dominique Asselineau a
écrit :
>[???]
> > D???un point de vue réponse HTTP, ces deux scripts vont
> > générer un 200 de la part du serveur HTTP : le fichier
> > 'index.php' a été exécuté et renvoie un contenu.
>
> Un script peut tout à fait retourner une réponse HTTP autre
> que 200. C'est ce que je fais lorsqu'on demande une ressource
> qui n'existe pas ou qui n'est pas autorisée pour la requête.
Oui. Je donnais juste l???exemple de ces deux scripts : moisi et
moins-moisi.
On pourrait aller plus loin dans les détails et les
possibilités, p.ex. les redirections, les réécritures, ce que
veut dire « exécuter un script », etc. Mais bon, vu la longueur
du fil, les multiples explications, pour arriver à
« index.php?bla et /bla, c???est pareil », on se dit qu???il vaut
mieux rester simple???
> Quant aux scripts qui font des includes sur des fichiers dont
> l'adresse est passée en paramètre et sans vérification... ça
> me laisse pantois. Il y en a même qui laissent faire des
> includes sur des URL... Ce qui permet à un spameur de faire
> tourner un moulin à spams chez vous avec votre bande passante
> et surtout votre responsabilité.
>
> Faire vraiment attention aux gentils scripts qui veulent vous
> rendre mille services sans vous dire ce que fait le mille et
> unième.
J???aimais bien l???époque des premiers CGI, en shell, c???était si
facile de se pendre avec ;o)
Le vendredi 9 octobre 2015, 16:24:00 Dominique Asselineau a
écrit :
>[???]
> > D???un point de vue réponse HTTP, ces deux scripts vont
> > générer un 200 de la part du serveur HTTP : le fichier
> > 'index.php' a été exécuté et renvoie un contenu.
>
> Un script peut tout à fait retourner une réponse HTTP autre
> que 200. C'est ce que je fais lorsqu'on demande une ressource
> qui n'existe pas ou qui n'est pas autorisée pour la requête.
Oui. Je donnais juste l???exemple de ces deux scripts : moisi et
moins-moisi.
On pourrait aller plus loin dans les détails et les
possibilités, p.ex. les redirections, les réécritures, ce que
veut dire « exécuter un script », etc. Mais bon, vu la longueur
du fil, les multiples explications, pour arriver à
« index.php?bla et /bla, c???est pareil », on se dit qu???il vaut
mieux rester simple???
> Quant aux scripts qui font des includes sur des fichiers dont
> l'adresse est passée en paramètre et sans vérification... ça
> me laisse pantois. Il y en a même qui laissent faire des
> includes sur des URL... Ce qui permet à un spameur de faire
> tourner un moulin à spams chez vous avec votre bande passante
> et surtout votre responsabilité.
>
> Faire vraiment attention aux gentils scripts qui veulent vous
> rendre mille services sans vous dire ce que fait le mille et
> unième.
J???aimais bien l???époque des premiers CGI, en shell, c???était si
facile de se pendre avec ;o)
Le vendredi 9 octobre 2015, 14:47:01
a écrit :
> Merci de la piqûre de rappel ci-dessous concernant les
> langages dynamiques Web.
> Les documents sur la sécurité abondent en ce sens,
> dont surtout la réinjection de codes dans les pages Web.
> La question initiale était :
> /index.php?rev=../../../../../../../../../etc/passwd
> HTTP Response 200, possible tentatives avec succès..."
> Mais rien n'empêche de taper directement ceci :
> "www.monsite.com/../../../../... /etc/passwd
> Le fait d'avoir une page d'index ou non,
> "/index.php?rev=../../../../../../../../../etc/passwd"
> ne doit pas changer grand chose...
Ok, donc, malgré tout ce qui a été dit dans ce fil, tu n âas
pas compris le protocole HTTP : ces requêtes ne sont pas
équivalentes.
Passer par un fichier PHP mal écrit qui va pouvoir lire
nâimporte quel fichier sur ta machine si on lui passe un chemin
dans le bon paramètre nâest pas équivalent à faire une requête
que le serveur va savoir refuser. à moins que celui qui a écrit
le fichier PHP moisi soit aussi celui qui a écrit le serveur
HTTP, ce dernier nâacceptera pas dâaller remonter plus ha ut que
sa racine (p.ex. /var/www).
celui qui a écrit le fichier PHP moisi soit aussi celui qui a
écrit le serveur HTTP :
Le vendredi 9 octobre 2015, 14:47:01 andre_debian@numericable.fr
a écrit :
> Merci de la piqûre de rappel ci-dessous concernant les
> langages dynamiques Web.
> Les documents sur la sécurité abondent en ce sens,
> dont surtout la réinjection de codes dans les pages Web.
> La question initiale était :
> /index.php?rev=../../../../../../../../../etc/passwd
> HTTP Response 200, possible tentatives avec succès..."
> Mais rien n'empêche de taper directement ceci :
> "www.monsite.com/../../../../... /etc/passwd
> Le fait d'avoir une page d'index ou non,
> "/index.php?rev=../../../../../../../../../etc/passwd"
> ne doit pas changer grand chose...
Ok, donc, malgré tout ce qui a été dit dans ce fil, tu n âas
pas compris le protocole HTTP : ces requêtes ne sont pas
équivalentes.
Passer par un fichier PHP mal écrit qui va pouvoir lire
nâimporte quel fichier sur ta machine si on lui passe un chemin
dans le bon paramètre nâest pas équivalent à faire une requête
que le serveur va savoir refuser. à moins que celui qui a écrit
le fichier PHP moisi soit aussi celui qui a écrit le serveur
HTTP, ce dernier nâacceptera pas dâaller remonter plus ha ut que
sa racine (p.ex. /var/www).
celui qui a écrit le fichier PHP moisi soit aussi celui qui a
écrit le serveur HTTP :
Le vendredi 9 octobre 2015, 14:47:01
a écrit :
> Merci de la piqûre de rappel ci-dessous concernant les
> langages dynamiques Web.
> Les documents sur la sécurité abondent en ce sens,
> dont surtout la réinjection de codes dans les pages Web.
> La question initiale était :
> /index.php?rev=../../../../../../../../../etc/passwd
> HTTP Response 200, possible tentatives avec succès..."
> Mais rien n'empêche de taper directement ceci :
> "www.monsite.com/../../../../... /etc/passwd
> Le fait d'avoir une page d'index ou non,
> "/index.php?rev=../../../../../../../../../etc/passwd"
> ne doit pas changer grand chose...
Ok, donc, malgré tout ce qui a été dit dans ce fil, tu n âas
pas compris le protocole HTTP : ces requêtes ne sont pas
équivalentes.
Passer par un fichier PHP mal écrit qui va pouvoir lire
nâimporte quel fichier sur ta machine si on lui passe un chemin
dans le bon paramètre nâest pas équivalent à faire une requête
que le serveur va savoir refuser. à moins que celui qui a écrit
le fichier PHP moisi soit aussi celui qui a écrit le serveur
HTTP, ce dernier nâacceptera pas dâaller remonter plus ha ut que
sa racine (p.ex. /var/www).
celui qui a écrit le fichier PHP moisi soit aussi celui qui a
écrit le serveur HTTP :
[â¦]
ça veut dire quoi "écrire le serveur HTTP" ?
Qu'en sais tu que mes scripts PHP sont moisis ?
[â¦] qu'en sais tu ?
Je ré-explique la problèmatique par comparaison :
[â¦]
Je voulais donc juste savoir si le fichier "/etc/passwd" a étà ©
téléchargé ou pas, point.
Bien lire la demande d'un membre de la liste est très
important.
[â¦]
ça veut dire quoi "écrire le serveur HTTP" ?
Qu'en sais tu que mes scripts PHP sont moisis ?
[â¦] qu'en sais tu ?
Je ré-explique la problèmatique par comparaison :
[â¦]
Je voulais donc juste savoir si le fichier "/etc/passwd" a étà ©
téléchargé ou pas, point.
Bien lire la demande d'un membre de la liste est très
important.
[â¦]
ça veut dire quoi "écrire le serveur HTTP" ?
Qu'en sais tu que mes scripts PHP sont moisis ?
[â¦] qu'en sais tu ?
Je ré-explique la problèmatique par comparaison :
[â¦]
Je voulais donc juste savoir si le fichier "/etc/passwd" a étà ©
téléchargé ou pas, point.
Bien lire la demande d'un membre de la liste est très
important.
à moins que celui qui a écrit le fichier PHP moisi soit aussi
celui qui a écrit le serveur HTTP
Le vendredi 9 octobre 2015, 23:07:45 andré a écrit :
> ça veut dire quoi "écrire le serveur HTTP" ?
Concevoir, programmer. La même chose que «écrire un scri pt» :
Que ce membre lise bien les réponses qui lui sont faites
est tout aussi très important :
à moins que celui qui a écrit le fichier PHP moisi soit aussi
celui qui a écrit le serveur HTTP
Le vendredi 9 octobre 2015, 23:07:45 andré a écrit :
> ça veut dire quoi "écrire le serveur HTTP" ?
Concevoir, programmer. La même chose que «écrire un scri pt» :
Que ce membre lise bien les réponses qui lui sont faites
est tout aussi très important :
à moins que celui qui a écrit le fichier PHP moisi soit aussi
celui qui a écrit le serveur HTTP
Le vendredi 9 octobre 2015, 23:07:45 andré a écrit :
> ça veut dire quoi "écrire le serveur HTTP" ?
Concevoir, programmer. La même chose que «écrire un scri pt» :
Que ce membre lise bien les réponses qui lui sont faites
est tout aussi très important :
[â¦]
> > ça veut dire quoi "écrire le serveur HTTP" ?
> >
> Concevoir, programmer. La même chose que «écrire u n
> script» :
C'est assez flou.
HTTP n'est pas un langage en soit, c'est un protocole de
communication, une syntaxe pour formuler des requêtes.
On l'utilise via un vrai langage de programmation, le PHP ou
le C, par exemple.
> Que ce membre lise bien les réponses qui lui sont faites
> est tout aussi très important :
Alors le dialogue est aussi (cra)moisi :-)
Ma question était la suivante :
comment vérifier que les logs d'Apache disant "possible
exploit", soit une attaque, intrusion réussies ?
cà d vérifier si les codes de sécurité fonctionne ?
Ma serrure blindée peut avoir résistée ou non,
je peux le constater.
Mais bon, pas grave, je clos le sujet.
[â¦]
> > ça veut dire quoi "écrire le serveur HTTP" ?
> >
> Concevoir, programmer. La même chose que «écrire u n
> script» :
C'est assez flou.
HTTP n'est pas un langage en soit, c'est un protocole de
communication, une syntaxe pour formuler des requêtes.
On l'utilise via un vrai langage de programmation, le PHP ou
le C, par exemple.
> Que ce membre lise bien les réponses qui lui sont faites
> est tout aussi très important :
Alors le dialogue est aussi (cra)moisi :-)
Ma question était la suivante :
comment vérifier que les logs d'Apache disant "possible
exploit", soit une attaque, intrusion réussies ?
cà d vérifier si les codes de sécurité fonctionne ?
Ma serrure blindée peut avoir résistée ou non,
je peux le constater.
Mais bon, pas grave, je clos le sujet.
[â¦]
> > ça veut dire quoi "écrire le serveur HTTP" ?
> >
> Concevoir, programmer. La même chose que «écrire u n
> script» :
C'est assez flou.
HTTP n'est pas un langage en soit, c'est un protocole de
communication, une syntaxe pour formuler des requêtes.
On l'utilise via un vrai langage de programmation, le PHP ou
le C, par exemple.
> Que ce membre lise bien les réponses qui lui sont faites
> est tout aussi très important :
Alors le dialogue est aussi (cra)moisi :-)
Ma question était la suivante :
comment vérifier que les logs d'Apache disant "possible
exploit", soit une attaque, intrusion réussies ?
cà d vérifier si les codes de sécurité fonctionne ?
Ma serrure blindée peut avoir résistée ou non,
je peux le constater.
Mais bon, pas grave, je clos le sujet.
Le mardi 13 octobre 2015, 19:41:51 andre a écrit :
> > > ça veut dire quoi "écrire le serveur HTTP" ?
Tu ne comprends pas « écrire le serveur HTTP ».
Tu ne comprends pas « programmer, concevoir le serveur HTTP ».
Je suppose que tu ne comprendras pas non plus « écrire un
programme qui soit un serveur pour HTTP », il faudra que je
tâexplique que « serveur » signifie « programme qu i propose un
service à dâautres programmes » et « serveur pour HTTP », « un
serveur qui donne des réponses à des requêtes selon le pro tocole
spécifié par les RFC 1945 ou 7230 ».
Faut-il aussi expliquer « écrire un programme » ?
Câest trop « flou »
On lâaura compris. Ãa fait douze fois que tu reposes la m ême
question. Tout le monde tâa déjà répondu : on nâ en sait foutre
rien parce quâon ne sait pas ce quâil y a dans ton foutu script.
Mais repose-la encore une foisâ¦
Toi, peut-être, nous non : on ne sait pas comment est faite ta
serrure et tout ce que tu nous répètes inlassablement, câ est
« mon voisin mâa dit quâil a vu quelquâun de vant ma porte, je
veux savoir sâil est entré ».
La dernière fois, je tâai demandé dâessayer d âessayer les URLs
toi-même pour voir ce que tu obtenais. Câest-à -dire, da ns la
suite de ton analogie, de « faire les mêmes gestes que le gars
qui était devant ta porte » pour voir si « tu peux entrer et
piquer lâargenterie ».
Mais bon, pas grave, je clos le sujet.
Il nây a pire sourdâ¦
Le mardi 13 octobre 2015, 19:41:51 andre a écrit :
> > > ça veut dire quoi "écrire le serveur HTTP" ?
Tu ne comprends pas « écrire le serveur HTTP ».
Tu ne comprends pas « programmer, concevoir le serveur HTTP ».
Je suppose que tu ne comprendras pas non plus « écrire un
programme qui soit un serveur pour HTTP », il faudra que je
tâexplique que « serveur » signifie « programme qu i propose un
service à dâautres programmes » et « serveur pour HTTP », « un
serveur qui donne des réponses à des requêtes selon le pro tocole
spécifié par les RFC 1945 ou 7230 ».
Faut-il aussi expliquer « écrire un programme » ?
Câest trop « flou »
On lâaura compris. Ãa fait douze fois que tu reposes la m ême
question. Tout le monde tâa déjà répondu : on nâ en sait foutre
rien parce quâon ne sait pas ce quâil y a dans ton foutu script.
Mais repose-la encore une foisâ¦
Toi, peut-être, nous non : on ne sait pas comment est faite ta
serrure et tout ce que tu nous répètes inlassablement, câ est
« mon voisin mâa dit quâil a vu quelquâun de vant ma porte, je
veux savoir sâil est entré ».
La dernière fois, je tâai demandé dâessayer d âessayer les URLs
toi-même pour voir ce que tu obtenais. Câest-à -dire, da ns la
suite de ton analogie, de « faire les mêmes gestes que le gars
qui était devant ta porte » pour voir si « tu peux entrer et
piquer lâargenterie ».
Mais bon, pas grave, je clos le sujet.
Il nây a pire sourdâ¦
Le mardi 13 octobre 2015, 19:41:51 andre a écrit :
> > > ça veut dire quoi "écrire le serveur HTTP" ?
Tu ne comprends pas « écrire le serveur HTTP ».
Tu ne comprends pas « programmer, concevoir le serveur HTTP ».
Je suppose que tu ne comprendras pas non plus « écrire un
programme qui soit un serveur pour HTTP », il faudra que je
tâexplique que « serveur » signifie « programme qu i propose un
service à dâautres programmes » et « serveur pour HTTP », « un
serveur qui donne des réponses à des requêtes selon le pro tocole
spécifié par les RFC 1945 ou 7230 ».
Faut-il aussi expliquer « écrire un programme » ?
Câest trop « flou »
On lâaura compris. Ãa fait douze fois que tu reposes la m ême
question. Tout le monde tâa déjà répondu : on nâ en sait foutre
rien parce quâon ne sait pas ce quâil y a dans ton foutu script.
Mais repose-la encore une foisâ¦
Toi, peut-être, nous non : on ne sait pas comment est faite ta
serrure et tout ce que tu nous répètes inlassablement, câ est
« mon voisin mâa dit quâil a vu quelquâun de vant ma porte, je
veux savoir sâil est entré ».
La dernière fois, je tâai demandé dâessayer d âessayer les URLs
toi-même pour voir ce que tu obtenais. Câest-à -dire, da ns la
suite de ton analogie, de « faire les mêmes gestes que le gars
qui était devant ta porte » pour voir si « tu peux entrer et
piquer lâargenterie ».
Mais bon, pas grave, je clos le sujet.
Il nây a pire sourdâ¦
Je pense que tu ne sais même pas ce que veut dire :
Je pense que tu ne sais même pas ce que veut dire :
Je pense que tu ne sais même pas ce que veut dire :
Le 13 oct. 2015 à 21:54, a écrit :
Je pense que tu ne sais même pas ce que veut dire :
Ce n'est pas très grave tout ça, au fond. Parfois, on a la tà ªte dans le guidon,
on ne vois pas forcément ce qu'il y a juste devant gros comme un mon tagne.
Mais quelques semaines plus tard, on y repense et on y trouve ce que l'on a
désespérément cherché.
J'avais déjà posé la question il y a plusieurs mois ici do nc c'est avec un petit
décalage que j'ai appris plein de trucs grâce à ce sujet.
Alors s'il n'a pas (encore) servi à celui qui pose la question, il a quand même
servi. Mais peut-être sera-t-il utile de poser encore une fois la qu estion.
Bis repetita placent.
Le 13 oct. 2015 à 21:54, andre_debian@numericable.fr a écrit :
Je pense que tu ne sais même pas ce que veut dire :
Ce n'est pas très grave tout ça, au fond. Parfois, on a la tà ªte dans le guidon,
on ne vois pas forcément ce qu'il y a juste devant gros comme un mon tagne.
Mais quelques semaines plus tard, on y repense et on y trouve ce que l'on a
désespérément cherché.
J'avais déjà posé la question il y a plusieurs mois ici do nc c'est avec un petit
décalage que j'ai appris plein de trucs grâce à ce sujet.
Alors s'il n'a pas (encore) servi à celui qui pose la question, il a quand même
servi. Mais peut-être sera-t-il utile de poser encore une fois la qu estion.
Bis repetita placent.
Le 13 oct. 2015 à 21:54, a écrit :
Je pense que tu ne sais même pas ce que veut dire :
Ce n'est pas très grave tout ça, au fond. Parfois, on a la tà ªte dans le guidon,
on ne vois pas forcément ce qu'il y a juste devant gros comme un mon tagne.
Mais quelques semaines plus tard, on y repense et on y trouve ce que l'on a
désespérément cherché.
J'avais déjà posé la question il y a plusieurs mois ici do nc c'est avec un petit
décalage que j'ai appris plein de trucs grâce à ce sujet.
Alors s'il n'a pas (encore) servi à celui qui pose la question, il a quand même
servi. Mais peut-être sera-t-il utile de poser encore une fois la qu estion.
Bis repetita placent.
@andre, une dernière fois, au cas où:
si tu veux avoir une indication sur le succès ou non des requêt es
relevées, tente ce qui t'a été suggéré:
fais la même requête depuis ton navigateur, et vois si tu obtie ns ou
non le contenu d' /etc/passwd
si oui => il y a un risque que l'attaque ait réussi
si non=> l'attaque a dû échouer
on ne peut rien dire de plus sans connaître le contenu de index.php ...
si jamais ça marche, c'est à dire qu'index.php utilise la valeu r du
paramètre rev alors il EST mal écrit et il FAUT le changer pour
refermer la faille.
La meilleure manière de limiter les failles c'est de réduire la partie
dynamique au strict minimum.
Pour naviguer de page en page, il vaut 100 fois mieux utiliser des
liens vers des URL statiques, car alors les contrôles de sécuri té du
serveur HTTP (apache2, par exemple) ne sont pas contournés, donc la
sécurité est meilleure. Ãric Dégenètais
@andre, une dernière fois, au cas où:
si tu veux avoir une indication sur le succès ou non des requêt es
relevées, tente ce qui t'a été suggéré:
fais la même requête depuis ton navigateur, et vois si tu obtie ns ou
non le contenu d' /etc/passwd
si oui => il y a un risque que l'attaque ait réussi
si non=> l'attaque a dû échouer
on ne peut rien dire de plus sans connaître le contenu de index.php ...
si jamais ça marche, c'est à dire qu'index.php utilise la valeu r du
paramètre rev alors il EST mal écrit et il FAUT le changer pour
refermer la faille.
La meilleure manière de limiter les failles c'est de réduire la partie
dynamique au strict minimum.
Pour naviguer de page en page, il vaut 100 fois mieux utiliser des
liens vers des URL statiques, car alors les contrôles de sécuri té du
serveur HTTP (apache2, par exemple) ne sont pas contournés, donc la
sécurité est meilleure. Ãric Dégenètais
@andre, une dernière fois, au cas où:
si tu veux avoir une indication sur le succès ou non des requêt es
relevées, tente ce qui t'a été suggéré:
fais la même requête depuis ton navigateur, et vois si tu obtie ns ou
non le contenu d' /etc/passwd
si oui => il y a un risque que l'attaque ait réussi
si non=> l'attaque a dû échouer
on ne peut rien dire de plus sans connaître le contenu de index.php ...
si jamais ça marche, c'est à dire qu'index.php utilise la valeu r du
paramètre rev alors il EST mal écrit et il FAUT le changer pour
refermer la faille.
La meilleure manière de limiter les failles c'est de réduire la partie
dynamique au strict minimum.
Pour naviguer de page en page, il vaut 100 fois mieux utiliser des
liens vers des URL statiques, car alors les contrôles de sécuri té du
serveur HTTP (apache2, par exemple) ne sont pas contournés, donc la
sécurité est meilleure. Ãric Dégenètais