Faille de sécurité importante sur Multimania/Lycos

Par Koreus le 7/1/2003 à 21:27:45 (#2968246)

Grace à une manipe très simple, il est possible de voir le contenu du répertoire et même de voir le code source d'un fichier PHP !

Plus d'infos sur Zataz.com

Webmaster, il est plus que conseillé de supprimer les login/pass de vos fichiers PHP en attendant qu'ils corrigent le problème....

Par tarpe diem le 7/1/2003 à 21:40:17 (#2968311)

mouarf, vu le nombre de site en PHP hébergé chez multimania ca va ete le dawa....

Par Tuizi le 7/1/2003 à 21:43:52 (#2968339)

Merci beaucoup de l'info!!!!


*va vite prévenir c'est collègue Webmaster*

Par Davesweb le 8/1/2003 à 7:54:21 (#2970307)

ouf heureusement on a changé de serveur récemment .... :eek: :eek:

Par Sgt Roger/Clemy le 8/1/2003 à 8:18:33 (#2970359)

de toute facon, Multimania, c lent :D , trop lent meme :/ a telle point que je peu prendre 3 cafés avant de voir un bitmap , si il arrive (bon c gratuit mais bon..)

multimania =
http://perso.wanadoo.fr/evahq/smyle/404_3.png

Par Tynril le 8/1/2003 à 8:20:14 (#2970363)

C'est pas vraiment une nouveauté :)

Par Davesweb le 8/1/2003 à 16:07:42 (#2973455)

C'est pas vraiment une nouveauté

n'empêche qu'a un moment c'été la classe

sur les chat y ave des milliers de personnes et c'est là ou j'ai fait mes débuts lol pour faire un site :monstre:

Par Felomes le 8/1/2003 à 16:10:53 (#2973483)

du temps de Mygale à la rigueur..

Par Gary le 8/1/2003 à 17:43:34 (#2974278)

et ben c'est pas une surprise venant de multimania...

Par Kalero ( MdA ) le 8/1/2003 à 17:52:21 (#2974365)

C'est le cas depuis bien longtemps... en fait depuis que Lycos et multimania sont ensemble pour etre exacte.
Enfin... C'est bien maintenant multimania et Lycos sont informés ;)

Par tarpe diem le 8/1/2003 à 18:46:00 (#2974833)

Provient du message de Davesweb
n'empêche qu'a un moment c'été la classe

sur les chat y ave des milliers de personnes et c'est là ou j'ai fait mes débuts lol pour faire un site :monstre:

Kler moi aussi, c'est grâce a multimania que je me suis mis a fréquenté assidument les forums et les chats du net...

Mais depuis qui ce sont fait racheté par Lycos...... :( :rolleyes: :sanglote:

Par Davesweb le 8/1/2003 à 19:28:56 (#2975241)

je crois qu'ils ont renoué avec la création de sites en ligne (webbuilder j'irai tester voir ce que ça donne)

normalement l'union fait la force mais là c'est pas trop le cas .... pour le chat voilà est grave monté (12000 connectes des fois :monstre: )

quand même bravo à multimania pour ce que c'été avant :eureka:

Par Lumina le 8/1/2003 à 19:52:34 (#2975430)

Comment faire fonctionner une base de donnees (par exemple des forums) si je ne peux pas mettre mon mot-de-passe dans un fichier .php ? Quelqu'un peut-il me donner une solution securisee ?

Par Tynril le 8/1/2003 à 20:06:50 (#2975552)

Provient du message de Lumina
Comment faire fonctionner une base de donnees (par exemple des forums) si je ne peux pas mettre mon mot-de-passe dans un fichier .php ? Quelqu'un peut-il me donner une solution securisee ?

- Crypter tes mots de passe ou (mieux) ton fichier de mot de passe à l'aide d'une clef privée
- Créer une variable serveur dans ton httpd.conf, que tu pourras appeller à l'aide de $_SERVER['NomDeLaVariable'];
- Mettre ton include contenant tes logins dans un dossier en CHMOD400

Par Koreus le 8/1/2003 à 22:23:26 (#2976661)

Je crois que les fichiers avec l'extension .INC (include) sont protege par multimania (impossible d'afficher) mais à confirmer.

J'ai decouvert la faille il y a 1 mois environ, la méthode (directory listing) était décrite dans un thread du forum hardware (qui a été supprimé je crois)
Mais en lisant zataz, je me rend compte que l'affichage du code php est aussi possible.
Mieux vaut prévenir que guérir....

Par Horus TCT le 9/1/2003 à 22:18:54 (#2984635)

la faille n'est toujours pas corrigée ?

Par Koreus le 9/1/2003 à 23:39:50 (#2985233)

Si c'est bon maintenant

Edit : en fait non.... l'affichage des sources php a l'air d'être corrigé mais j'arrive toujours à faire le directory listing...