Discussion :

[youps]

Bonjour,

j'ai récupéré un site en php qui a été codé avec la variable register_globals du php.ini sur ON. Or, pour que le site fonctionne avec register_globals sur OFF, il faudrait que je revois une grosse partie du code (travail énorme).

Ma question : une grosse partie du site (partie admin) étant protégé par un mot de passe serveur dans le .htacces, y a t-il vraiment des trous de sécurité avec register_globals sur ON sur cette partie spécifique ?

Ou bien est-ce que le mot de passe du .htaccess règle tous les problèmes, vu qu'aucune requête ne peut en théorie accéder au scripts de ce répertoire ?

Merci d'avance de vos conseils et remarques.

[supersnail]

Bonjour,

Développer avec register_global à ON est suicidaire, étant donné qu'on peut écraser le contenu de n'importe quelle variable en rajoutant un paramètre dans l'URL,ce qui ouvre la porte à de multiples failles potentielles.

Bref, le mieux est encore de revoir ton application en entier, car on peut atteindre fortement le site ou le serveur sans droits spécifiques (et fouetter le développeur de l'appli pour avoir codé avec ses pieds )

[youps]

Donc, tu dis qu'on peut attaquer un script php, même si le dossier est protégé par le .htaccess ? Comment est-ce possible ?

[supersnail]

Donc, tu dis qu'on peut attaquer un script php, même si le dossier est protégé par le .htaccess ? Comment est-ce possible ?

Ce que je veux dire c'est que le hacker n'est pas forcément obligé de s'attaquer au dossier admin...
Étant donné que, lorsque le mode "register_globals" est à ON, la notation

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$variable_get

ou encore

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_GET["variable_get"]

sont équivalentes, un hacker pourrait injecter des valeurs dans des variables locales en créant des paramètres GET, et cela peut modifier complètement le comportement de la page.

Bien sûr, ça dépend fortement de la manière dont la page a été codé.

Je prends cet exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
<?php
if($nomUser == "admin" && $password == "monpassword")
{
     //On met le jeton "admin" à 1.
    $admin = 1;
} 
 
//Du code....
 
if($admin == 1)
{
     echo "Bienvenue dans l'espace admin!";
}

Il suffirait au hacker de faire mapage.php?admin=1 pour gagner les droits d'admin sur cette page (bien sûr cet exemple est poussé à l'extrême, mais on peut se retrouver dans ce genre de situations )

[youps]

supersnail, je suis d'accord avec toi en ce qui concerne le reste du site qui n'est pas protégé par mot de passe, mais pour en revenir spécifiquement au dossier "admin" protégé par un mot de passe dans le .htaccess, me confirmez-vous que c'est impossible de faire quoi que ce soit pour un hacker ?

[supersnail]

A moins qu'il y ait une faille dans Apache ou dans ton site qui permet de supprimer le htaccess, le htaccess te protègera normalement .

[sabotage]

et fouetter le développeur de l'appli pour avoir codé avec ses pieds

La faute est du côté de PHP d'avoir permis ça et de l'avoir activé par défaut.
Maintenant le problème est mieux maîtrisé des deux coté mais à l'époque ?