Sécurité site web (php et phpmyadmin) : accès aux mots de passe dans un fichier config.php

maloy · 29/07/2011, 19h13

Bonjour,

Je possède un site web réalisé en PHP. Site réalisé par un amateur mais qui a configuré de façon sécurisé comme on le voit sur de nombreux site.
Il y a un fichier config.php avec les identifiant et le MDP de la BDD phpmyadmin protégé bien sur. Il y en a 2 identifiants et 2 MDP dans ce fichier, un ancien en commentaire /**/ et un autre qui permet de se connecter.

Mais un Hackeur a réussi à trouver ces identifiants donc à se connecter à ma BDD. Se ventant, il a donné les 2 MDP dont celui en commentaire.

Ma question pour ceux qui s'y connaisse. Est ce possible via une faille du site wab/php de trouver ou d'entrer dans le config.php ET trouver même celui en commentaire? Ou et c'est ce que je pense impossible via le FTP, mais je doute de ça car cela vient d'un site sécurisé et s'il aurait eu les identifiants il aurait pu se loger sur l'interface du site mais aucun log dessus, j'ai pu vérifier.

Voila si vous pouviez m'aider.

tho.feron · 30/07/2011, 12h07

Bonjour,

Oui, il est possible de lire des fichiers à partir de diverses failles de sécurité.
Comme d'habitude, je conseille un audit de sécurité par un professionnel pour sécuriser tout ça.

Cordialement,
Thomas Feron

maloy · 31/07/2011, 23h46

merci.

Il y a des personnes/sites compétents dans ce domaine? Car je ne connais pas trop d'adresses dans ce domaine. Et cela peut revenir à combien?

kanadianDri3 · 03/08/2011, 15h06

Si c'est pour tester un site web, voilà ce que je te conseil (c'est ce que je fais en tout cas)

Utiliser firefox
télécharger et installer le module Compatibility reporter
ajouter à ca, tu installes XSS Me et SQL Inject Me
Tu tests toutes tes pages une par une

C'est un moyen rapide et efficace. Ensuite, à toi d’interpréter les résultats (assez explicite)

Sinon, tu peux utiliser w3af (un logiciel open source) un petit tuto ici (en anglais) => http://pentesterconfessions.blogspot...audit-web.html

Bon courage. C'est pas trivial et c'est un travail un peu long.

Si tu bloques, fait moi signe. Bon courage

29/07/2011, 19h13	#1
maloy Invité de passage Étudiant Inscription : juillet 2011 Messages : 26 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Étudiant Secteur : Arts - Culture Informations forums : Inscription : juillet 2011 Messages : 26 Points : 0 Points : 0	Sécurité site web (php et phpmyadmin) : accès aux mots de passe dans un fichier config.php Bonjour, Je possède un site web réalisé en PHP. Site réalisé par un amateur mais qui a configuré de façon sécurisé comme on le voit sur de nombreux site. Il y a un fichier config.php avec les identifiant et le MDP de la BDD phpmyadmin protégé bien sur. Il y en a 2 identifiants et 2 MDP dans ce fichier, un ancien en commentaire /**/ et un autre qui permet de se connecter. Mais un Hackeur a réussi à trouver ces identifiants donc à se connecter à ma BDD. Se ventant, il a donné les 2 MDP dont celui en commentaire. Ma question pour ceux qui s'y connaisse. Est ce possible via une faille du site wab/php de trouver ou d'entrer dans le config.php ET trouver même celui en commentaire? Ou et c'est ce que je pense impossible via le FTP, mais je doute de ça car cela vient d'un site sécurisé et s'il aurait eu les identifiants il aurait pu se loger sur l'interface du site mais aucun log dessus, j'ai pu vérifier. Voila si vous pouviez m'aider.
	00

30/07/2011, 12h07	#2
tho.feron Membre actif Thomas Feron Chef d'entreprise Inscription : novembre 2010 Messages : 94 Détails du profil Informations personnelles : Nom : Thomas Feron Localisation : Belgique Informations professionnelles : Activité : Chef d'entreprise Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : novembre 2010 Messages : 94 Points : 164 Points : 164	Bonjour, Oui, il est possible de lire des fichiers à partir de diverses failles de sécurité. Comme d'habitude, je conseille un audit de sécurité par un professionnel pour sécuriser tout ça. Cordialement, Thomas Feron
	00

31/07/2011, 23h46	#3
maloy Invité de passage Étudiant Inscription : juillet 2011 Messages : 26 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Étudiant Secteur : Arts - Culture Informations forums : Inscription : juillet 2011 Messages : 26 Points : 0 Points : 0	merci. Il y a des personnes/sites compétents dans ce domaine? Car je ne connais pas trop d'adresses dans ce domaine. Et cela peut revenir à combien?
	00

03/08/2011, 15h06	#4
kanadianDri3 Futur Membre du Club David Lemaire Etudiant Inscription : juillet 2011 Messages : 10 Détails du profil Informations personnelles : Nom : David Lemaire Localisation : France Informations professionnelles : Activité : Etudiant Informations forums : Inscription : juillet 2011 Messages : 10 Points : 15 Points : 15	Si c'est pour tester un site web, voilà ce que je te conseil (c'est ce que je fais en tout cas) Utiliser firefox télécharger et installer le module Compatibility reporter ajouter à ca, tu installes XSS Me et SQL Inject Me Tu tests toutes tes pages une par une C'est un moyen rapide et efficace. Ensuite, à toi d’interpréter les résultats (assez explicite) Sinon, tu peux utiliser w3af (un logiciel open source) un petit tuto ici (en anglais) => http://pentesterconfessions.blogspot...audit-web.html Bon courage. C'est pas trivial et c'est un travail un peu long. Si tu bloques, fait moi signe. Bon courage
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email