Bonjour,
 
Il m'est arrivé un petit soucis le week end dernier. En effet, je me suis fait hacké, en fait rien de bien méchant, la personne a uniquement changé ma page d'accueil.
 
ce qui m'amène à poster un message dans cette rubrique, c'est qu'un tierse personne m'a dit que cela avait pu être provoqué par le forum que j'ai mis en place. Cela me semble irréel, mais j'aurais bien aimé avoir l'avis de personnes compétetentes en PHP, à savoir est il possible de modifier une page d'accueil (en html) d'un site à travers un forum écrit en PHP ?
 
Merci pour vos réponses...

Si ta page d'accueil est génerée dymaniquement a partir d'une BD, que cette meme BD est utilisée par le forum et que tes scripts ne sont pas sécurisés alors la reponse est oui.
 
Par exemple si tu as des failles qui permettent a un utilisateur d'executer des requetes sur ta BD il peut effectuer des update ou des insert pour modifier tes données et ainsi modifier le contenu de ta page d'accueil...

Ok, mais le soucis c'est que la page d'accueil n'est absolument pas générée par la BD. C'est une page HTML toute classique écrite en dur...qui n'est jamais modifiée...

 
Donc soit le gars a le pass du ftp, soit il a pu ecrire quelque part du code php qui ouvre en écriture et modifie le fichier index.html  
 
quoi d'autre...?

donne l'adresse de ton site qu'on voie les failles possibles

Vous donner l'adresse ne servirait à rien...j'ai tout zappé...Merci pour votre aide en tout cas...

si ya quand meme du php sur ton site a part la page dacueil, c ptet une faille include tout bete

faille include / xss / sql injection , je connais pas d'autres failles

Merci orazur, connais tu une adresse oiu je pourrais me documenter la dessus ?

 
http://www.google.com/search?hl=en [...] gle+Search
 

 
EDIT : un article qui doit etre pas mal (SitePoint oblige) =>
http://www.sitepoint.com/article/794

Ok merci pour tout

Il y a aussi parfois des failles du à une faiblesse (ou une abscence) des controles sur les pages d'administrations.
Ne pas oublier aussi le coup des pages *.inc (ou autres fichiers envoyé au navigateur sans traitement) contenant tout les codes d'accés à la base de donnée qui sont donc lisible par tous ceux qui trouvent le fichier.

D'ailleurs j'ai jamais compris l'interêt de faire des .inc, mes librairies je les mets toujours en .php, et puis voila

Oui.. je me suis déja fait gentiment avoir avec un .inc !  
 
Mais bon sur ce coup je reste sur ma faim, le gars (visiblement un brésilien : samba ! ) a gentiment supprimé ma page d'index en htm et l'a remplacé par son index en php...
 
Ce que je donnerais pas pour savoir comment il a fait ça...

Au fait, c'était quoi le nom du forum que t'avais mise? Il y avait peut être un trou de sécurité du type "include distant".

Bah je sais plus...je sais je les accumule...
 
il est relativement vieux, son developpement avait été stoppé.  
 
Je le gardais car il m'offrait des options de modérations plus simple que le précédent...
 
En tout cas je suis incapable de vous donner un nom...
 

C'est quoi les "include distant" ?

Ba met plutot Phorum, a mon avis, il va te plaire
+

 
vi g oublié les coups de chance (assez rares quand meme)

include("http:// ...." );
En gros, t'inclus un script situé sur un autre serveur. Si on appelles ce fichier depuis un navigateur, on voit en clair le script qui sera inclus.
Ca arrive pour ceux qui ont un système de type index.php?mapage=untel.php sans vérification de la valeur de mapage ni positionnement des fichiers a partir d'un répertoire quelconque.
Du coup, si mapage commence par "http://" (ou certains autre protocoles d'ailleur), c'est pas un des scripts du site qui sera exécuté mais un situé ailleur sur le net.

Moui, mais comment pourrait t'on voir le code ? En passant par http, le code sera forcément exécuté sur le serveur distant, donc on obtiendra pas grand chose d'utile, enfin je pense

Si on appelle une page distante en .html , ca sera pas exécuté à ddistance.
Si on appelle une page distante en .php, rien ne dit que le résultat du traitement fait par le serveur distant ne sera pas un script php valide.  
Et si on appelle un serveur distant, rien ne dit qu'il traite les script php.

 
Ah oui ok, je viens de comprendre ! Merci

C'est intéressant toutes ces histoire de sécurité. Sécurisé un site c'est assez compliqué. Y a un truc basique qu'il faut toujours vérifier c'est le changement des variables passé en par un 'GET'. J'ai remarqué ca sur différents sites. Les gens ne pensent pas au petit malin qui s'amuserai à modifier les variable. Du coup le client peut tombé sur une page dont il ne devait pas avoir accès. Ou alors, il peut visualiser une erreur de requête. C'est d'ailleur de cet manière qu'un ami à réussi à aller dans l'admin d'un site. Il a eu l'adresse complète (adresse local au serveur) du fichier qui exécutait la requête. Et je ne sais + comment mais il est tombé sur l'admin, une petite manip et beaucoup de faille du coté admin (vérification de l'identité de l'administrateur uniquement sur la page d'accueil de l'admin).
 
Vous savez ou il y a de bon site relatant à la sécurité d'un code PHP?
Je trouve ca important, et y a plein de site qui ne font pas attention.