Incroyable mais vrai -> Un nouvelle faille pour php ?

Discussion dans 'Le café de WebRankInfo' créé par Ohax, 26 Juin 2005.

  1. Ohax
    Ohax WRInaute accro
    Inscrit:
    5 Juillet 2004
    Messages:
    4 900
    J'aime reçus:
    0
    Censured
     
  2. Erazor
    Erazor WRInaute accro
    Inscrit:
    14 Février 2004
    Messages:
    3 839
    J'aime reçus:
    0
    euh ..tu parles de phpBB ?
    ( :twisted: je suis en train d'installer àa ! )
     
  3. Ohax
    Ohax WRInaute accro
    Inscrit:
    5 Juillet 2004
    Messages:
    4 900
    J'aime reçus:
    0
    je parle de tous les sites qui utilisent une base de donnée

    attention : ce n'est pas un fake
     
  4. Genzo
    Genzo WRInaute impliqué
    Inscrit:
    18 Juin 2004
    Messages:
    545
    J'aime reçus:
    0
    Faut quej je retrouve l'article parlant du cryptage des données de config :lol:
     
  5. Ohax
    Ohax WRInaute accro
    Inscrit:
    5 Juillet 2004
    Messages:
    4 900
    J'aime reçus:
    0
  6. toutankhaton
    toutankhaton WRInaute discret
    Inscrit:
    14 Septembre 2003
    Messages:
    171
    J'aime reçus:
    0
  7. Pouzy
    Pouzy WRInaute passionné
    Inscrit:
    1 Septembre 2004
    Messages:
    1 041
    J'aime reçus:
    0
    Purée Ohax .. il demande de pas diffuser ..

    Ecoute le un peu !
     
  8. Genzo
    Genzo WRInaute impliqué
    Inscrit:
    18 Juin 2004
    Messages:
    545
    J'aime reçus:
    0
    En même temps sa source elle même (à Ohax) se contredit, vu qu'il lui a dit à quoi correspondait la faille :?
     
  9. TOMHTML
    TOMHTML WRInaute accro
    Inscrit:
    25 Août 2004
    Messages:
    2 502
    J'aime reçus:
    0
    beau bordel à prévoir dans la sécurité informatique...
    heureusement que je suis 100% HTML et 0% base de données :)
     
  10. Orion33
    Orion33 WRInaute discret
    Inscrit:
    20 Août 2004
    Messages:
    183
    J'aime reçus:
    0
    +1
     
  11. yuston
    yuston WRInaute impliqué
    Inscrit:
    24 Septembre 2004
    Messages:
    600
    J'aime reçus:
    0
    La n'est pas le problème, le problème est de boucher tout ca le plus rapidement possible... et de toute facon ca va changer quoi qu'Ohax le diffuse ou non, personne ne connaît exactement cette faille... comment l'exploiter,.... ceci dit, je ne crois pas trop que cette faille existe réelement mais bon, vu qu'en n'est pas le 1re avril je commence a douter....
     
  12. Pouzy
    Pouzy WRInaute passionné
    Inscrit:
    1 Septembre 2004
    Messages:
    1 041
    J'aime reçus:
    0
    Oui, le but est de protéger les webmasters sous PhpBB, pas de diffuser l'info a tous les hackeurs potentiels qui se jetteraient sur l'occas' ..
     
  13. Ohax
    Ohax WRInaute accro
    Inscrit:
    5 Juillet 2004
    Messages:
    4 900
    J'aime reçus:
    0
  14. ¥€$
    ¥€$ WRInaute impliqué
    Inscrit:
    5 Décembre 2002
    Messages:
    917
    J'aime reçus:
    0
    Y a aucun hacker ici, dis-nous comment on fait Ohax...
     
  15. Ohax
    Ohax WRInaute accro
    Inscrit:
    5 Juillet 2004
    Messages:
    4 900
    J'aime reçus:
    0
    il faut se mettre une plume dans le cul et faire le tour du paté maison à poil sous un imperméable :D
     
  16. raspoutine59
    raspoutine59 WRInaute discret
    Inscrit:
    17 Mars 2005
    Messages:
    189
    J'aime reçus:
    0
    La seule façon de voir en clair le fichier config.php serait d'empecher le serveur de l'interpreter. Donc forcement une url injection quelque part ! J'prefere encore savoir ou ce trouve cette conne d'injection plutot que de m'emmerder a renommer le fichier config.php ! Parce que si ça marche avec un ca marche avec tous les autres !!
     
  17. dmathieu
    dmathieu WRInaute accro
    Inscrit:
    9 Janvier 2004
    Messages:
    5 596
    J'aime reçus:
    0
    et si tu peut obtenir la source de config.php, tu peut obtenir celle de index.php
    donc, le nom du config.php, et donc, la source du fichier renommé...
     
  18. raspoutine59
    raspoutine59 WRInaute discret
    Inscrit:
    17 Mars 2005
    Messages:
    189
    J'aime reçus:
    0
    Bah oué, mais faut ce mettre une plume dans l'cul avant qu'on nous aide...........
     
  19. yuston
    yuston WRInaute impliqué
    Inscrit:
    24 Septembre 2004
    Messages:
    600
    J'aime reçus:
    0
    Je ne pense pas que ca soit une bonne idée de divulgué, sur un forum, une telle information...imaginer le danger que ca représente....
    Mais d'un autre côté, si on ne peut pas réaliser de test soit même, on pourrai penser que ca soit un canular :p
     
  20. raspoutine59
    raspoutine59 WRInaute discret
    Inscrit:
    17 Mars 2005
    Messages:
    189
    J'aime reçus:
    0
    Bah au vue du log MSN et de l'espece d'abruti qui parlé ca semble plus être un canular qu'autre chose. Ou alors c'est encore une de ces pucelles qui viens tout juste d'avoir le net et qui ce prend pour un hacker après avoir lu un document de deux lignes sur un site de newbies.
     
  21. fbparis
    fbparis WRInaute impliqué
    Inscrit:
    1 Février 2005
    Messages:
    520
    J'aime reçus:
    0
    si il y a vraiment une faille dans php, on peut en causer ici car ca veut dire qu'elle est deja connue, en tous cas elle est connue des hackers. et puis c un secret de polichinelle, dans moins de 24h si c vrai l'info sera dispo partout.

    pourquoi vous en profitez pas pour mettre l'info en ligne tout de suite et ainsi faire la une de google actu ? :)

    moi jmen vais glaner l'info directement aupres de la team php :p
     
  22. JeunZ
    JeunZ WRInaute accro
    Inscrit:
    18 Février 2004
    Messages:
    3 942
    J'aime reçus:
    0
  23. jeroen
    jeroen WRInaute passionné
    Inscrit:
    30 Août 2002
    Messages:
    2 131
    J'aime reçus:
    0
    Je ne suis pas sur phpbb mais sur un truc "fait main" :D

    J'avais 2 petites questions :
    1/ Je ne comprends pas trop l'importance de coder ses paramètres de connexion à la base ?

    2/ Et la question 2 en découle : Quelle est la procédure ?

    Merciiii
     
  24. rottman
    rottman WRInaute passionné
    Inscrit:
    6 Janvier 2004
    Messages:
    1 804
    J'aime reçus:
    0
    Je ne comprend pas, pourquoi le titre est "faille pour php" alors que l'on parle la d'une faille dans phpbb ?

    Il faudra bien parler un jour ou l'autre de la faille... Autant le faire maintenant.

    Sinon inutile d'ouvrir un topic, les utilisateurs de phpbb devraient deja tous etre au courant des modifications à y faire pour le sécuriser un maximum...
     
  25. Ohax
    Ohax WRInaute accro
    Inscrit:
    5 Juillet 2004
    Messages:
    4 900
    J'aime reçus:
    0
    ça ne conserne pas que phpbb ;-)
     
  26. sonikbuzz
    sonikbuzz WRInaute occasionnel
    Inscrit:
    21 Février 2005
    Messages:
    398
    J'aime reçus:
    0
    C'est une faille dans php (une fonction php) ou une faille de sécu liée au codage ?
     
  27. Ohax
    Ohax WRInaute accro
    Inscrit:
    5 Juillet 2004
    Messages:
    4 900
    J'aime reçus:
    0
    ça conserne l'enssemble des sites web j'ai dit

    donc il ne peut s'agir d'une erreur de codage ;-)
     
  28. JeunZ
    JeunZ WRInaute accro
    Inscrit:
    18 Février 2004
    Messages:
    3 942
    J'aime reçus:
    0
    Si on en savait plus... C'est incroyable, les personnes malvaillante doivent certainement être au courant et nous non... Alors qu'on pourrait peut être commencer à protéger des choses :)
     
  29. sonikbuzz
    sonikbuzz WRInaute occasionnel
    Inscrit:
    21 Février 2005
    Messages:
    398
    J'aime reçus:
    0
    devinette...
    ok donc c'est une faille dans une function php ?

    [edit] enfin bon je vais pas me prendre la tête pour une faille de plus 8) [/edit]
     
  30. raspoutine59
    raspoutine59 WRInaute discret
    Inscrit:
    17 Mars 2005
    Messages:
    189
    J'aime reçus:
    0
    On pourrait supprimer ce topic inutile merci.
    J'vois pas l'interet de crier au loup pour ne rien divulger même en PV. Merci aux modos
     
  31. dmathieu
    dmathieu WRInaute accro
    Inscrit:
    9 Janvier 2004
    Messages:
    5 596
    J'aime reçus:
    0
    surtout que si effectivement, la faille est si enorme, elle sera fixée d'ici 48h, l'équipe php est plutot réactive
     
  32. TOMHTML
    TOMHTML WRInaute accro
    Inscrit:
    25 Août 2004
    Messages:
    2 502
    J'aime reçus:
    0
    quelle autorité ridicule...
    ce topic a au moins pour conséquence que les webmasters ayant un forum php** ne seront pas surpris de devoir mettre à jours leurs codes... la vigilence est plus active
    mieux vaut prévenir que guérir...
     
  33. dmathieu
    dmathieu WRInaute accro
    Inscrit:
    9 Janvier 2004
    Messages:
    5 596
    J'aime reçus:
    0
    tomhtml ca concerne toutes les personnes qui utilisent php, puisque c'est une faille dans le code php.
    que ce soit un forum, une section membres, ... tout est susceptible d'utilise une bdd, ou un mot de passe
     
  34. Ohax
    Ohax WRInaute accro
    Inscrit:
    5 Juillet 2004
    Messages:
    4 900
    J'aime reçus:
    0
    juste 2 conseils

    sécurisez votre config.php comme je l'ai indiqué et suivez TOUTES les mises à jours de très près


    même si elles ne consernent pas php...
     
  35. sonikbuzz
    sonikbuzz WRInaute occasionnel
    Inscrit:
    21 Février 2005
    Messages:
    398
    J'aime reçus:
    0
    Heu désolé je dois être bête...
    Quel fichier config.php ?
    J'ai pas de fichier config.php :lol:
     
  36. JeunZ
    JeunZ WRInaute accro
    Inscrit:
    18 Février 2004
    Messages:
    3 942
    J'aime reçus:
    0
    le fichier config.php de phpBB...
     
  37. sonikbuzz
    sonikbuzz WRInaute occasionnel
    Inscrit:
    21 Février 2005
    Messages:
    398
    J'aime reçus:
    0
    Ok mais Ohax dit que ca concerne TOUS les sites en php.
     
  38. JeunZ
    JeunZ WRInaute accro
    Inscrit:
    18 Février 2004
    Messages:
    3 942
    J'aime reçus:
    0
    Oui la faille...

    Mais le config.php c'est que pour les phpBB ;-)
     
  39. sonikbuzz
    sonikbuzz WRInaute occasionnel
    Inscrit:
    21 Février 2005
    Messages:
    398
    J'aime reçus:
    0
    Ok donc en gros si j'ai bien compris :
    si on n'a pas de fichier sensible avec des noms évocateurs c'est déjà un bon point. :roll:
     
  40. Ohax
    Ohax WRInaute accro
    Inscrit:
    5 Juillet 2004
    Messages:
    4 900
    J'aime reçus:
    0
    ça ne sufft pas de changer le nom du fichier
     
  41. rottman
    rottman WRInaute passionné
    Inscrit:
    6 Janvier 2004
    Messages:
    1 804
    J'aime reçus:
    0
    En effet car, il existe des logiciels qu'utilisent les pirates qui permettent de voir l'arborescence d'un serveur.
     
  42. Ohax
    Ohax WRInaute accro
    Inscrit:
    5 Juillet 2004
    Messages:
    4 900
    J'aime reçus:
    0
    oui mais pas seulemment

    la faille en question ne met pas seulemment votre site en danger mais elle met aussi votre code en danger
     
  43. sonikbuzz
    sonikbuzz WRInaute occasionnel
    Inscrit:
    21 Février 2005
    Messages:
    398
    J'aime reçus:
    0
    tu parles de l'arbo avant ou aprés le DOCUMENT_ROOT .
    Si c'est aprés je suis pas choqué.
    Si c'est avant ca me parait impossible (ou alors le serveur est déjà hacké)
     
  44. webbrain
    webbrain WRInaute occasionnel
    Inscrit:
    2 Juin 2004
    Messages:
    257
    J'aime reçus:
    0
    ca me rappelle un vieux truc "Comment devenir hacker":lol:

    http://www3.france-jeunes.net/read.php?tid=14990
     
  45. Boeing
    Boeing WRInaute discret
    Inscrit:
    22 Février 2004
    Messages:
    50
    J'aime reçus:
    0
    Bof il s'appel Ohax
    ça vous dit rien Hoax ? o_O
    Et toi Ohax, tu t'es planté une plume dans le cul pour avoir eu cette pseudo-faille ?
     
  46. Pouzy
    Pouzy WRInaute passionné
    Inscrit:
    1 Septembre 2004
    Messages:
    1 041
    J'aime reçus:
    0
    A part qu'on est partout sur google :) :p

    Un petit complément à Ohax :arrow: -http://www.aidoforum.com/tutoriaux-161-securiser-votre-forum-phpbb.html
     
  47. Tex
    Tex WRInaute occasionnel
    Inscrit:
    9 Juillet 2004
    Messages:
    342
    J'aime reçus:
    0
    phpbb.com a subi une attaque DoS ce week end, ils n'ont pas été hackés (du moins c'est ce qu'ils disent). d'aprés eux il n'y a pas de nouvelle faille connue.

    source phpbb.com
     
  48. itsme
    itsme WRInaute impliqué
    Inscrit:
    13 Octobre 2004
    Messages:
    609
    J'aime reçus:
    0
    Je repete ce qui a deja ete dit mais quel interret de crier
    sans pour autant decrire la faille ?

    Repondre qu'il faut securiser tel ou tel fichier n'apporte rien puisque on est deja sense le faire.

    Decrire la faille - au moins dans ses grands trait - serait plus efficace pour sensibiliser les webmasters.

    A l'heure actuelle - d'apres moi - ce post n'a aucun interret et semble plus un Hoax (sans/avec jeu de mot) qu'a autre chose :?

    +1
    +1
     
  49. Patrice A.
    Patrice A. WRInaute passionné
    Inscrit:
    11 Février 2005
    Messages:
    2 071
    J'aime reçus:
    0
    Il est aussi risible de renommer un fichier spécifique à une application spécifique pour une faille concernant le langage lui-même que de confier sa sécurité à un cryptage tiers proposé par les annonciateurs de la faille en question.
     
  50. m@thieu
    [email protected] Nouveau WRInaute
    Inscrit:
    18 Février 2005
    Messages:
    44
    J'aime reçus:
    0
    tout à fait d'accord
    surtout que les liens données proposent de sécuriser le fichier "config.php" ce qui n'a pas de sens puisque ce fichier est seulement lisible par les scripts qui sont dans le site donc aucun danger
     
  51. itsme
    itsme WRInaute impliqué
    Inscrit:
    13 Octobre 2004
    Messages:
    609
    J'aime reçus:
    0
    ...en théorie, oui.
    mais non si - par exemple - tu as sur le site un script dont la fonction est d'afficher le contenu d'un fichier et que ce script puisse etre detourne d'une mainiere ou d'une autre.
    Si c'est ca, la fameuse faille, ca ne valait pas le coup de faire tout ce foin pour un si vieux truc.
     
  52. e-kiwi
    e-kiwi WRInaute accro
    Inscrit:
    23 Décembre 2003
    Messages:
    13 198
    J'aime reçus:
    1
    ben c est juste une faille de développeurs, pas de php ... comme souvent
     
  53. m@thieu
    [email protected] Nouveau WRInaute
    Inscrit:
    18 Février 2005
    Messages:
    44
    J'aime reçus:
    0
    [​IMG] :mrgreen:
     
  54. Genzo
    Genzo WRInaute impliqué
    Inscrit:
    18 Juin 2004
    Messages:
    545
    J'aime reçus:
    0
    Bon bah on va le rendre un peu utile alors ce topic :D

    Vu qu'on a abordé le sujet de phpBB :
    MàJ phpBB 2.0.16
     
  55. hedonism
    hedonism WRInaute discret
    Inscrit:
    29 Novembre 2004
    Messages:
    161
    J'aime reçus:
    0
    C’est quand même hallucinant que vous ne vous êtes pas encore rendus compte que ce gamin a eu son CAP en colportage de fausses nouvelles et tout ça uniquement pour créer les topics inutiles et foutre la pagaille. Et vous marchez dedans.
    Tous les bulletins d’alertes de sécurité sont sur http://www.frsirt.com/ et la question de sécurisation de certains fichier et dossier de phpBB est vielle comme le forum lui-même.
    Discutez ici du problème de référencement et problèmes liés à ce sujet, mais si vous voulez avoir les précisions sur les forums allez sur le site de support de … phpBB en anglais ou français c’est au choix et vous apprendrez l’existence de la MAJ de phpBB vers 2.0.16
     
  56. alfred99
    alfred99 WRInaute occasionnel
    Inscrit:
    7 Décembre 2004
    Messages:
    432
    J'aime reçus:
    0
    +1 avec hedonism,
    Le titre est deja mal choisi et n'a été corrigé par personne. La faille supposée n'a pas été prouvée et en plus ca ne concerne pas tous les sites php, heureusement et je suis allé vérifier chez phpBB, on ne parle pas de ce problême. Ohax qui porte bien son nom veut faire parler de lui et monter ses sites en pr et en lien. Il poste pour n'importe quoi sans verifier ses sources ex : skyblog,phpBB. Il devrait lire avant d'écrire. Ca n'enleve rien à ses qualités, mais faut pas trop en faire quand même !
     
  57. hedonism
    hedonism WRInaute discret
    Inscrit:
    29 Novembre 2004
    Messages:
    161
    J'aime reçus:
    0
    Il s’est déjà fait virer de phpBB-fr et ça ne va peut être pas tarder ici
    Hoax et Troll en plus
     
  58. Kounte
    Kounte WRInaute impliqué
    Inscrit:
    16 Septembre 2003
    Messages:
    626
    J'aime reçus:
    0
    C'est pas vraiment inutile, si il participe à la pub collaborative de wri... :lol:
     
  59. hedonism
    hedonism WRInaute discret
    Inscrit:
    29 Novembre 2004
    Messages:
    161
    J'aime reçus:
    0
    En effet, c’est la meilleure (et unique pour certains) raison de poster sur WRI
     
  60. tawath
    tawath WRInaute occasionnel
    Inscrit:
    30 Avril 2005
    Messages:
    262
    J'aime reçus:
    0
    clair la securite releve du proprietaire du site uniquement
     
  61. Ysa
    Ysa Nouveau WRInaute
    Inscrit:
    19 Octobre 2003
    Messages:
    10
    J'aime reçus:
    0
  62. yuston
    yuston WRInaute impliqué
    Inscrit:
    24 Septembre 2004
    Messages:
    600
    J'aime reçus:
    0
    Mais cette supposée faille ne concerne pas que phpBB, mais TOUS les sites qui combinent php/mysql car c'est une faille dans php, dans le langage en lui même...

    Donc ca ne sert a rien de sortir des patch correctif si php n'est pas lui même corrigé....
     
Chargement...
Similar Threads - Incroyable vrai nouvelle Forum Date
incroyable mais vrai ! no 2 sur 2000000 disparu 10 minutes Problèmes de référencement spécifiques à vos sites 6 Novembre 2007
Incroyable mais vrai! Problèmes de référencement spécifiques à vos sites 4 Octobre 2004
Incroyable situation pour un nom de domaine Droit du web (juridique, fiscalité...) 28 Juillet 2021
Truc incroyable en multi-site chez Ovh... Administration d'un site Web 9 Août 2018
Différences incroyables entres outils d'analyse de backlinks Netlinking, backlinks, liens et redirections 16 Février 2018
Incroyable: résultat différent selon le pc Référencement Google 15 Juin 2010
Yahoo indexe mes Thumbs.db ! incroyable non ?! Débuter en référencement 26 Juin 2008
Referencement sur GOOGLE incroyablement desepérant ! Crawl et indexation Google, sitemaps 9 Avril 2008
INCROYABLE : mes liens mennent tous à une page inconnue !! Développement d'un site Web ou d'une appli mobile 3 Janvier 2008
incroyable discution avec mon boss sur les liens affilies Débuter en référencement 28 Décembre 2007
baisse incroyable du nombre de résultat sur gg Référencement Google 18 Décembre 2007
Positionnement incroyable sur un mot clé concurrentiel Référencement Google 15 Novembre 2007
INCROYABLE -du code html se multiplie tout seul dans ma page Développement d'un site Web ou d'une appli mobile 4 Octobre 2007
Du nouveau chez Google Marketing: Incroyable ! Google : l'entreprise, les sites web, les services 28 Février 2007
Incroyable : un module de cloacking pour Joomla Le café de WebRankInfo 9 Novembre 2006
Incroyable ça perte énorme de places !!! Crawl et indexation Google, sitemaps 11 Janvier 2005
Dégringolade incroyable ! Problèmes de référencement spécifiques à vos sites 12 Novembre 2004
[rapidité] Incroyable!!!!!!!!! Problèmes de référencement spécifiques à vos sites 23 Octobre 2004
Identification des clics frauduleux incroyable ! AdSense 16 Octobre 2004
Mais c'est incroyable ça ! Débuter en référencement 9 Octobre 2004