IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Sécurité site web (php et phpmyadmin) : accès aux mots de passe dans un fichier config.php


Sujet :

Sécurité

  1. #1
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2011
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Juillet 2011
    Messages : 88
    Points : 49
    Points
    49
    Par défaut Sécurité site web (php et phpmyadmin) : accès aux mots de passe dans un fichier config.php
    Bonjour,

    Je possède un site web réalisé en PHP. Site réalisé par un amateur mais qui a configuré de façon sécurisé comme on le voit sur de nombreux site.
    Il y a un fichier config.php avec les identifiant et le MDP de la BDD phpmyadmin protégé bien sur. Il y en a 2 identifiants et 2 MDP dans ce fichier, un ancien en commentaire /**/ et un autre qui permet de se connecter.

    Mais un Hackeur a réussi à trouver ces identifiants donc à se connecter à ma BDD. Se ventant, il a donné les 2 MDP dont celui en commentaire.

    Ma question pour ceux qui s'y connaisse. Est ce possible via une faille du site wab/php de trouver ou d'entrer dans le config.php ET trouver même celui en commentaire? Ou et c'est ce que je pense impossible via le FTP, mais je doute de ça car cela vient d'un site sécurisé et s'il aurait eu les identifiants il aurait pu se loger sur l'interface du site mais aucun log dessus, j'ai pu vérifier.

    Voila si vous pouviez m'aider.

  2. #2
    Membre habitué
    Homme Profil pro
    Chef d'entreprise
    Inscrit en
    Novembre 2010
    Messages
    94
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef d'entreprise
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Novembre 2010
    Messages : 94
    Points : 153
    Points
    153
    Par défaut
    Bonjour,

    Oui, il est possible de lire des fichiers à partir de diverses failles de sécurité.
    Comme d'habitude, je conseille un audit de sécurité par un professionnel pour sécuriser tout ça.

    Cordialement,
    Thomas Feron

  3. #3
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2011
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Juillet 2011
    Messages : 88
    Points : 49
    Points
    49
    Par défaut
    merci.

    Il y a des personnes/sites compétents dans ce domaine? Car je ne connais pas trop d'adresses dans ce domaine. Et cela peut revenir à combien?

  4. #4
    Nouveau membre du Club
    Homme Profil pro
    Développeur Java
    Inscrit en
    Juillet 2011
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Juillet 2011
    Messages : 15
    Points : 28
    Points
    28
    Par défaut
    Si c'est pour tester un site web, voilà ce que je te conseil (c'est ce que je fais en tout cas)

    • Utiliser firefox
    • télécharger et installer le module Compatibility reporter
    • ajouter à ca, tu installes XSS Me et SQL Inject Me
    • Tu tests toutes tes pages une par une


    C'est un moyen rapide et efficace. Ensuite, à toi d’interpréter les résultats (assez explicite)

    Sinon, tu peux utiliser w3af (un logiciel open source) un petit tuto ici (en anglais) => http://pentesterconfessions.blogspot...audit-web.html

    Bon courage. C'est pas trivial et c'est un travail un peu long.

    Si tu bloques, fait moi signe. Bon courage

Discussions similaires

  1. Réponses: 3
    Dernier message: 21/01/2017, 09h26
  2. Sécurité site web php/phpmyadmin
    Par maloy dans le forum Langage
    Réponses: 7
    Dernier message: 30/07/2011, 00h18
  3. Interdire l'accès aux mots de passe
    Par Daejung dans le forum Firefox
    Réponses: 0
    Dernier message: 19/11/2010, 08h54
  4. Réponses: 3
    Dernier message: 19/07/2010, 12h42
  5. Réponses: 14
    Dernier message: 06/08/2009, 09h58

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo