osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

2 Pages V   1 2 >  
Reply to this topicStart new topic
> Attention PIRATAGE, je voudrais comprendre comment il a fait
forgiven
posté 21 Feb 2010, 22:08
Message #1


Ceinture jaune OSC
Icône de groupe

Groupe : Membres
Messages : 68
Inscrit : 7-July 06
Membre no 11049



Bonjour

Je voudrais comprendre comment on a eu pu entrer dans l'admin, changer mon email (email de l'administrateur) par ZimboMba7@gmail.com

est ce que vous avez une idée sur cette email ZimboMba7@gmail.com

pour le moment j'ai changé les information via la base de donnée, il n'a rien fait de grave, mais est qu'est ce que vous me conseiller de vérifier ou de changer ?


Merci d'avance


--------------------
oscommerce-2.2ms2-FR Contrib : SEO URLs | PDF Invoices | header tag controller | STS Template | PAYPAL IPN | GiftWrap | Attribut manager | DISCOUNT COUPONS | Contrôle des Commandes | order short ...
Go to the top of the page
 
Gnidhal
posté 21 Feb 2010, 23:19
Message #2


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9221
Inscrit : 4-March 03
Lieu : Pau
Membre no 927



Mettre une protection .htaccess / .htpasswd sur le dossier d'administration.
Comme c'est indiqué dans la FAQ en somme.


--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 
brouillard
posté 26 Feb 2010, 15:59
Message #3


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 301
Inscrit : 9-December 09
Membre no 26687



Citation (forgiven @ 21 Feb 2010, 22:08) *
Bonjour

Je voudrais comprendre comment on a eu pu entrer dans l'admin, ...


Bonjour,

je pense qu'ils sont rentrés comme ça :

-http://www.taboutique.fr/admin/file_manager.php/login.php?action=save HTTP/1.1

j'ai testé sur ma boutique et ça marche, et pas qu'avec file_manager.php, avec tout le reste, on peut même envoyer des mails de ta boutique.

J'ai trouvé cette source en anglais, mais pas d'équivalent en français !

http://forums.oscommerce.com/topic/351671-...ginphp-exploit/
Go to the top of the page
 
Bonbec
posté 26 Feb 2010, 16:24
Message #4


Ceinture marron OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1543
Inscrit : 30-May 06
Lieu : Vichy (03)
Membre no 10583



Citation (brouillard @ 26 Feb 2010, 15:59) *
-http://www.taboutique.fr/admin/file_manager.php/login.php?action=save HTTP/1.1
j'ai testé sur ma boutique et ça marche, et pas qu'avec file_manager.php, avec tout le reste, on peut même envoyer des mails de ta boutique.

Cela veut dire que ton dossier admin n'est pas protégé par un htaccess angry.gif ...


--------------------
Config 1 en live : Osc 2.2 très fortement modifié ... UTF-8 et Php 5.4.
Contribs installées : down_for_maintenance_v 2.3 | Estimated Shipping v1.5 | imprint_1_3_5 | low_stock_report_v2.04 | visible_countries_1.2b | Products Tabs | shoppingCart_cleanup_v1.01.0 | + trop de bidouilles persos pas très OsCommerce (erreurs de jeunesse)
Config 2 en local avec UwAmp : Osc Phoenix
Go to the top of the page
 
brouillard
posté 26 Feb 2010, 16:36
Message #5


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 301
Inscrit : 9-December 09
Membre no 26687



Voila comment corriger le bug selon la source que j'ai mentionnée plus haut :

Vers la ligne 150 de admin/includes/application_top.php

trouver ce code
CODE
$redirect = true;
}



Coller ce code juste après la "}"
CODE
#correction bug pirate

if (!isset($login_request) || isset($HTTP_GET_VARS['login_request']) || isset($HTTP_POST_VARS['login_request']) || isset($HTTP_COOKIE_VARS['login_request']) || isset($HTTP_SESSION_VARS['login_request']) || isset($HTTP_POST_FILES['login_request']) || isset($HTTP_SERVER_VARS['login_request'])) {
$redirect = true;
}
# fin correction bug pirate



Dans admin/login.php Ligne 11 "après le comentaire"

CODE

Released under the GNU General Public License
*/


Rajouter cette ligne
CODE

$login_request = true;



Testé sur ma boutique, ça marche
Go to the top of the page
 
brouillard
posté 26 Feb 2010, 16:43
Message #6


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 301
Inscrit : 9-December 09
Membre no 26687



Citation (Bonbec @ 26 Feb 2010, 16:24) *
Cela veut dire que ton dossier admin n'est pas protégé par un htaccess angry.gif ...


Mon dossier admin ne s'appel plus admin je l'ai rebaptisé depuis belle lurette et il est bien protégé par un htaccess et un mot de passe crypté, malgré cela cette arnaque marche à merveille pour le hackeurs, et si tu es d'accord on peut tester sur ta boutique !
Go to the top of the page
 
sykaflex
posté 26 Feb 2010, 17:01
Message #7


Ceinture marron OSC
Icône de groupe

Groupe : Membres
Messages : 1335
Inscrit : 12-July 08
Lieu : aux Açores au milieu de l'atlantique
Membre no 22434



salut brouillard
c'est vrai que tes explications c'est le fog complet tongue.gif
Citation
Mon dossier admin ne s'appel plus admin je l'ai rebaptisé depuis belle lurette et il est bien protégé par un htaccess et un mot de passe crypté, malgré cela cette arnaque marche à merveille pour le hackeurs, et si tu es d'accord on peut tester sur ta boutique !
d'autant plus que d'après toi "l'arnaqeur" utiliserait la combine de bonbec, connaitrait le nouveau nom de ton dossier admin, et malgré .htaccess et .htpassword, déboulerait sur ton file_manager.php que tu aurais viré de ton serveur puisque la prudence et les faq t'ont recommandé de le virer !
donc soit nous nous trouvons devant une nouvelle énorme faille de sécurité de osC, soit c'est le brouillard complet !
il faudrait en fait que tu énumères exactement les opérations de sécurité que tu as réalisé sur ton site et malgré les quelles ton hacker a pu passé au travers.


--------------------
entre chats : chat affamé cherche chat pelure pour faire sauter chat perché dans poil de chat (allergiques s'abstenir)

ah oui ... osCommerce v2.2 RC1 french by Delaballe "merci à lui" - PHP version 4.4.8 - mysql5-41 - OVH 240Plan - contribs : (entre autre) AJAX-AttributeManager-V2.8.2 - Limit_Countries - Multi-Product Update v1.00 - Quick Updates 2.7 - Individual Product Shipping Prices - v1_0 - Attribute Qty Product Info - user_tracking_1 - Visitor Web Stats 3.2.1 - Sort Order - image_subdirectories - master password v1.4 - virementbancaire1.4 - Welcome_Email_password ...
"et grand merci à tous les contributionneurs"
Go to the top of the page
 
brouillard
posté 26 Feb 2010, 17:13
Message #8


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 301
Inscrit : 9-December 09
Membre no 26687




Bonjour sykaflex,

Le hackeur n'a pas visité ma boutique, mais celle du pauvre forgiven, quant à moi j'ai découvert cette faille que j'ai testé moi-même, et non le hackeur, sur ma boutique et j'ai constaté, moi-même et pas le hackeur, qu'elle marche. Après la mise à jour, la faille a disparue et me revoie vers la page de login.php

Mais c'est vrai qu'avec le dossier admin rebaptisé le hackeur a mois de chance de me retrouver.
Go to the top of the page
 
Bonbec
posté 26 Feb 2010, 17:30
Message #9


Ceinture marron OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1543
Inscrit : 30-May 06
Lieu : Vichy (03)
Membre no 10583



Citation (brouillard @ 26 Feb 2010, 16:43) *
Mon dossier admin ne s'appel plus admin je l'ai rebaptisé depuis belle lurette et il est bien protégé par un htaccess et un mot de passe crypté, malgré cela cette arnaque marche à merveille pour le hackeurs, et si tu es d'accord on peut tester sur ta boutique !

Je viens de tester sur ma boutique et çà ne passe pas, mon htaccess joue bien son rôle. blush.gif


--------------------
Config 1 en live : Osc 2.2 très fortement modifié ... UTF-8 et Php 5.4.
Contribs installées : down_for_maintenance_v 2.3 | Estimated Shipping v1.5 | imprint_1_3_5 | low_stock_report_v2.04 | visible_countries_1.2b | Products Tabs | shoppingCart_cleanup_v1.01.0 | + trop de bidouilles persos pas très OsCommerce (erreurs de jeunesse)
Config 2 en local avec UwAmp : Osc Phoenix
Go to the top of the page
 
forgiven
posté 27 Feb 2010, 08:08
Message #10


Ceinture jaune OSC
Icône de groupe

Groupe : Membres
Messages : 68
Inscrit : 7-July 06
Membre no 11049



Merci pour vos réponses

j'ai changé le nom du dossier admin depuis un an déjà.

le problème est que maintenant il utilise mon smtp pour envoyé des spam

il a réussit, et je ne sais pas du tout comment faire un nettoyage.

j'ai vérifié par date les modifications apporté au fichier et dossier et je n'ai trouvé auncun rajout de fichier ni de dossier, ni modification de mes fichiers.

Je viens de rajouter le htacess dans l'admin, je vais suivre aussi les conseils de ce post

Si vous avez d'autres conseils ca serai super

pour info, je n'ai pas trouvé
Citation
$redirect = true;
}
dans admin/includes/application_top.php ni de variable $redirect

Merci

Ce message a été modifié par forgiven - 27 Feb 2010, 08:18.


--------------------
oscommerce-2.2ms2-FR Contrib : SEO URLs | PDF Invoices | header tag controller | STS Template | PAYPAL IPN | GiftWrap | Attribut manager | DISCOUNT COUPONS | Contrôle des Commandes | order short ...
Go to the top of the page
 
brouillard
posté 27 Feb 2010, 09:17
Message #11


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 301
Inscrit : 9-December 09
Membre no 26687



Citation (forgiven @ 27 Feb 2010, 08:08) *
Merci pour vos réponses
....

pour info, je n'ai pas trouvé
Citation
$redirect = true;
}
dans admin/includes/application_top.php ni de variable $redirect

Merci


Si tu n'as pas le même code dans application_top que celui-là, c'est que tu as une autre version de osc ou ton code a été modifié
CODE
<?php
/*
$Id: $

osCommerce, Open Source E-Commerce Solutions
http://www.oscommerce.com

Copyright © 2007 osCommerce

Released under the GNU General Public License
*/

// Start the clock for the page parse time log
define('PAGE_PARSE_START_TIME', microtime());

// Set the level of error reporting
error_reporting(E_ALL & ~E_NOTICE);
// error_reporting(E_ALL | E_STRICT);

// check support for register_globals
if (function_exists('ini_get') && (ini_get('register_globals') == false) && (PHP_VERSION < 4.3) ) {
exit('Server Requirement Error: register_globals is disabled in your PHP configuration. This can be enabled in your
php.ini configuration file or in the .htaccess file in your catalog directory. Please use PHP 4.3+ if register_globals cannot be
enabled on the server.');
}

// Set the local configuration parameters - mainly for developers
if (file_exists('includes/local/configure.php')) include('includes/local/configure.php');

// Include application configuration parameters
require('includes/configure.php');

// Define the project version
define('PROJECT_VERSION', 'osCommerce Online Merchant v2.2 RC1 W3C Valid FR');

// some code to solve compatibility issues
require(DIR_WS_FUNCTIONS . 'compatibility.php');

// set php_self in the local scope
$PHP_SELF = (isset($HTTP_SERVER_VARS['PHP_SELF']) ? $HTTP_SERVER_VARS['PHP_SELF'] : $HTTP_SERVER_VARS['SCRIPT_NAME']);

// Used in the "Backup Manager" to compress backups
define('LOCAL_EXE_GZIP', '/usr/bin/gzip');
define('LOCAL_EXE_GUNZIP', '/usr/bin/gunzip');
define('LOCAL_EXE_ZIP', '/usr/local/bin/zip');
define('LOCAL_EXE_UNZIP', '/usr/local/bin/unzip');

// include the list of project filenames
require(DIR_WS_INCLUDES . 'filenames.php');

// include the list of project database tables
require(DIR_WS_INCLUDES . 'database_tables.php');

// customization for the design layout
define('BOX_WIDTH', 125); // how wide the boxes should be in pixels (default: 125)

// Define how do we update currency exchange rates
// Possible values are 'oanda' 'xe' or ''
define('CURRENCY_SERVER_PRIMARY', 'oanda');
define('CURRENCY_SERVER_BACKUP', 'xe');

// include the database functions
require(DIR_WS_FUNCTIONS . 'database.php');

// make a connection to the database... now
tep_db_connect() or die('Unable to connect to database server!');

// set application wide parameters
$configuration_query = tep_db_query('select configuration_key as cfgKey, configuration_value as cfgValue from ' . TABLE_CONFIGURATION);
$config_flag_in = array('Oui', 'Non');
$config_flag_out = array('true', 'false');
while ($configuration = tep_db_fetch_array($configuration_query)) {
$configuration['cfgValue'] = str_replace($config_flag_in, $config_flag_out, $configuration['cfgValue']);
define($configuration['cfgKey'], $configuration['cfgValue']);
}

// define our general functions used application-wide
require(DIR_WS_FUNCTIONS . 'general.php');
require(DIR_WS_FUNCTIONS . 'html_output.php');

// initialize the logger class
require(DIR_WS_CLASSES . 'logger.php');

// include shopping cart class
require(DIR_WS_CLASSES . 'shopping_cart.php');

// check to see if php implemented session management functions - if not, include php3/php4 compatible session class
if (!function_exists('session_start')) {
define('PHP_SESSION_NAME', 'osCAdminID');
define('PHP_SESSION_PATH', '/');
define('PHP_SESSION_SAVE_PATH', SESSION_WRITE_DIRECTORY);

include(DIR_WS_CLASSES . 'sessions.php');
}

// define how the session functions will be used
require(DIR_WS_FUNCTIONS . 'sessions.php');

// set the session name and save path
tep_session_name('osCAdminID');
tep_session_save_path(SESSION_WRITE_DIRECTORY);

// set the session cookie parameters
if (function_exists('session_set_cookie_params')) {
session_set_cookie_params(0, DIR_WS_ADMIN);
} elseif (function_exists('ini_set')) {
ini_set('session.cookie_lifetime', '0');
ini_set('session.cookie_path', DIR_WS_ADMIN);
}

// lets start our session
tep_session_start();

if ( (PHP_VERSION >= 4.3) && function_exists('ini_get') && (ini_get('register_globals') == false) ) {
extract($_SESSION, EXTR_OVERWRITE+EXTR_REFS);
}

// set the language
if (!tep_session_is_registered('language') || isset($HTTP_GET_VARS['language'])) {
if (!tep_session_is_registered('language')) {
tep_session_register('language');
tep_session_register('languages_id');
}

include(DIR_WS_CLASSES . 'language.php');
$lng = new language();

if (isset($HTTP_GET_VARS['language']) && tep_not_null($HTTP_GET_VARS['language'])) {
$lng->set_language($HTTP_GET_VARS['language']);
} else {
$lng->get_browser_language();
}

$language = $lng->language['directory'];
$languages_id = $lng->language['id'];
}

// redirect to login page if administrator is not yet logged in
if (!tep_session_is_registered('admin')) {
$redirect = false;

$current_page = basename($PHP_SELF);

if ($current_page != FILENAME_LOGIN) {
if (!tep_session_is_registered('redirect_origin')) {
tep_session_register('redirect_origin');

$redirect_origin = array('page' => $current_page,
'get' => $HTTP_GET_VARS);
}

$redirect = true;
}


if ($redirect == true) {
tep_redirect(tep_href_link(FILENAME_LOGIN));
}

unset($redirect);
}

// include the language translations
require(DIR_WS_LANGUAGES . $language . '.php');
$current_page = basename($PHP_SELF);
if (file_exists(DIR_WS_LANGUAGES . $language . '/' . $current_page)) {
include(DIR_WS_LANGUAGES . $language . '/' . $current_page);
}

// define our localization functions
require(DIR_WS_FUNCTIONS . 'localization.php');

// Include validation functions (right now only email address)
require(DIR_WS_FUNCTIONS . 'validations.php');

// setup our boxes
require(DIR_WS_CLASSES . 'table_block.php');
require(DIR_WS_CLASSES . 'box.php');

// initialize the message stack for output messages
require(DIR_WS_CLASSES . 'message_stack.php');
$messageStack = new messageStack;

// split-page-results
require(DIR_WS_CLASSES . 'split_page_results.php');

// entry/item info classes
require(DIR_WS_CLASSES . 'object_info.php');

// email classes
require(DIR_WS_CLASSES . 'mime.php');
require(DIR_WS_CLASSES . 'email.php');

// file uploading class
require(DIR_WS_CLASSES . 'upload.php');

// calculate category path
if (isset($HTTP_GET_VARS['cPath'])) {
$cPath = $HTTP_GET_VARS['cPath'];
} else {
$cPath = '';
}

if (tep_not_null($cPath)) {
$cPath_array = tep_parse_category_path($cPath);
$cPath = implode('_', $cPath_array);
$current_category_id = $cPath_array[(sizeof($cPath_array)-1)];
} else {
$current_category_id = 0;
}

// default open navigation box
if (!tep_session_is_registered('selected_box')) {
tep_session_register('selected_box');
$selected_box = 'configuration';
}

if (isset($HTTP_GET_VARS['selected_box'])) {
$selected_box = $HTTP_GET_VARS['selected_box'];
}

// the following cache blocks are used in the Tools->Cache section
// ('language' in the filename is automatically replaced by available languages)
$cache_blocks = array(array('title' => TEXT_CACHE_CATEGORIES, 'code' => 'categories', 'file' => 'categories_box-language.cache', 'multiple' => true),
array('title' => TEXT_CACHE_MANUFACTURERS, 'code' => 'manufacturers', 'file' => 'manufacturers_box-language.cache', 'multiple' => true),
array('title' => TEXT_CACHE_ALSO_PURCHASED, 'code' => 'also_purchased', 'file' => 'also_purchased-language.cache', 'multiple' => true)
);

// check if a default currency is set
if (!defined('DEFAULT_CURRENCY')) {
$messageStack->add(ERROR_NO_DEFAULT_CURRENCY_DEFINED, 'error');
}

// check if a default language is set
if (!defined('DEFAULT_LANGUAGE')) {
$messageStack->add(ERROR_NO_DEFAULT_LANGUAGE_DEFINED, 'error');
}

if (function_exists('ini_get') && ((bool)ini_get('file_uploads') == false) ) {
$messageStack->add(WARNING_FILE_UPLOADS_DISABLED, 'warning');
}
?>


Ce message a été modifié par brouillard - 27 Feb 2010, 09:23.
Go to the top of the page
 
Rik2009
posté 28 Feb 2010, 04:05
Message #12


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 331
Inscrit : 3-March 09
Lieu : Paris
Membre no 24686



alors juste pour info j'ai essayer la ligne que tu donne:
-http://www.taboutique.fr/admin/file_manager.php/login.php?action=save HTTP/1.1

avec un autre fichier que file_manager et un autre nom que admin puisque tout cela à été changer et mon htaccess fait aussi très bien sons boulot puisqu'il me demande le mot de passe.
Maintenant si j'enlève le htaccess il est clair qu'il y à un accès au fichier demander et ta solution fonctionne très bien, une fois que l'on insère ton code on à un retour direct sur le login.php
alors comme je suis plutôt du genre à pensé que 2 solutions valle mieux qu'une on sais jamais.


--------------------
osCommerce MS2 RC1FRW3C + Pacth RC2aFRW3C (pour mon nouveau site) pour l'autre osCommerce MS2 RC1FRW3C
Go to the top of the page
 
ngmsky
posté 28 Mar 2010, 23:23
Message #13


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 90
Inscrit : 7-November 09
Lieu : PARIS
Membre no 26487



Citation (brouillard @ 26 Feb 2010, 17:13) *
Bonjour sykaflex,

Le hackeur n'a pas visité ma boutique, mais celle du pauvre forgiven,
...
Après la mise à jour, la faille a disparue et me revoie vers la page de login.php

Mais c'est vrai qu'avec le dossier admin rebaptisé le hackeur a mois de chance de me retrouver.


Bonjour a tous.
Brouillard, si j'ai bien compris, il y'a une mise à jour qui corrige cette faille de sécurité.
Pourrai-je savoir de quelle mise à jour sagit-il ?
De même, pourrai-je savoir la version que tu utilisait juste avant cette mise à jour ?

De plus, je ne comprends pas comment cette faille arrivait à fonctionner chez toi alors qu'il y'avait le htaccess + htpassword ?

Logiquement, même si ta version n'tait pas sécurisée, mais rien que la présence du htacces bien configuré devrait suffir pour empéché ce type de hack, même sans rebatiser le admin, n'est -ce pas ?

Je suis loin d'être un expert en sécurité mais d'après ce qu'on sait tous sur htccess, je suis très très surpris d'aprendre qu'il peut laisser un accès libre a une ressources qu'il est censé protéger.

Merci infiniment pour tes reponses et pour ta solution complémentaire (isset...) c'est toujours bien d'être doublement sécurisé.

Ce message a été modifié par ngmsky - 29 Mar 2010, 09:15.


--------------------
Oscom V 2.3.4 Ubuntu 14.04 LTS
10000000 merciS à l'équipe anglophone et francophone pour ce beau travail !

- Ta parole et ta pensée peuvent changer le monde. Alors agit pour construire.
- Tu es un être unique car Dieu ne fait pas de photocopie.
- Tu as le Pouvoir de Choisir ... la Vérité et de Refusez la mort.
- Evite le gaspillage (alimentaire, matériel, vestimentaire, ...) et Re-deviens un humain responnsable.
- Savoir qui es ton créateur c'est le debut de la science, te Soumetre à sa volonté c'est Réuissir ta vie : c'est le but de la vie sur tèrre !
- Les mains inactives appellent la pauvreté.
- Science sans conscience n'est que ruine de l'âme. Donc ne te limite pas à être intélligeant, cherche surtout La Sagèsse.
- L'Amour "véritable" et "inconditionnel" est l'unique solution aux multiples problemes du monde (violence, injustice, manipulation, pauvreté, ...).
Go to the top of the page
 
ngmsky
posté 29 Mar 2010, 10:45
Message #14


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 90
Inscrit : 7-November 09
Lieu : PARIS
Membre no 26487



Citation (sykaflex @ 26 Feb 2010, 17:01) *
...
d'autant plus que d'après toi "l'arnaqeur" utiliserait la combine de bonbec, connaitrait le nouveau nom de ton dossier admin, et malgré .htaccess et .htpassword, déboulerait sur ton file_manager.php que tu aurais viré de ton serveur puisque la prudence et les faq t'ont recommandé de le virer !


Bonjour sykaflex,
J'aimerai savoir si tu peux me donner le lien de la FAQ qui remcommande de virer le file_manager.php.

Je savais qu'on devrait renommer, mieux encore virer le dossier install, juste après l'installation de la boutique, je savais aussi qu'il était conseillé de renommer d'autres dossiers et fichiers (ex: admin, htacces, etc.)
Et je suis surpris de savoir qu'il y'avait d'autres fichiers qu'on devrait virer !

Merci donc pour me donner un lien de cette recommandation.


Citation (Rik2009 @ 28 Feb 2010, 04:05) *
alors juste pour info j'ai essayer la ligne que tu donne: ...

----------
osCommerce MS2 RC1FRW3C + Pacth RC2aFRW3C (pour mon nouveau site) pour l'autre osCommerce MS2 RC1FRW3C


Bonjour Rik2009,
Peux tu me donner le lien du patch que tu as cité dans ta signature ?
En faite, sur la page des téléchargements, je ne trouve "aucun" patch pour Osc v2.2 RC1 W3C Valid FR v3 Mais seulement des patch pour l'ancienne version de Osc (MS2 d'origine).

Et d'une manniere globale, j'aimerai savoir quelle est la derniere mise à jour valide à ce jour ?
Je ne comprends plus rien. J'ai comme l'impression qu'il y'a plein de petites mise à jour (patch) (depuis la MS2.2 rc1 w3c-3) mais elles ne sont pas répertoriées dans le même endroit et j'ai du mal à les trouver.

En passant j'ai trouvé une autre boutique oscommerce pirater par la même personne (même adresse mail) et il a envoyé des mails etc.

voici le lien


un autre site en englais qui explique la faille est ici

Merci de m'aider à trouver la dernière mise à jour

Ce message a été modifié par ngmsky - 29 Mar 2010, 11:04.


--------------------
Oscom V 2.3.4 Ubuntu 14.04 LTS
10000000 merciS à l'équipe anglophone et francophone pour ce beau travail !

- Ta parole et ta pensée peuvent changer le monde. Alors agit pour construire.
- Tu es un être unique car Dieu ne fait pas de photocopie.
- Tu as le Pouvoir de Choisir ... la Vérité et de Refusez la mort.
- Evite le gaspillage (alimentaire, matériel, vestimentaire, ...) et Re-deviens un humain responnsable.
- Savoir qui es ton créateur c'est le debut de la science, te Soumetre à sa volonté c'est Réuissir ta vie : c'est le but de la vie sur tèrre !
- Les mains inactives appellent la pauvreté.
- Science sans conscience n'est que ruine de l'âme. Donc ne te limite pas à être intélligeant, cherche surtout La Sagèsse.
- L'Amour "véritable" et "inconditionnel" est l'unique solution aux multiples problemes du monde (violence, injustice, manipulation, pauvreté, ...).
Go to the top of the page
 
Gnidhal
posté 29 Mar 2010, 13:22
Message #15


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9221
Inscrit : 4-March 03
Lieu : Pau
Membre no 927



C'est la raison pour laquelle nous conseillons d'ajouter un .htaccess à la section admin en plus de la protection par session.
Avec un .htaccess et un .htpasswd il est impossible d'attaquer directement les scripts de ce répertoire. Il n'y a donc plus aucune faille potentielle.


--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 
ngmsky
posté 29 Mar 2010, 15:12
Message #16


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 90
Inscrit : 7-November 09
Lieu : PARIS
Membre no 26487



Merci pour ce rappel sur l'utilité presqu'obligatoire du .htaccess et .htpassword

Sinon que penses tu de cette déclaration de brouillard (en attendant sa réponse à ma question) ?
Ce n'est pas pour vous confronter à une difficulté, mais juste que c'est un peut difficile à digérer.
D'une part, connaissant, la réputation du couple .htaccess et .htpassword et d'autre part, un membre déclare que même avec ce couple, l'accès à ces ressources est toujours possible à n'importe qui, ça fait quand même réfléchir.

Citation (brouillard @ 26 Feb 2010, 16:43) *
...
Mon dossier admin ne s'appel plus admin je l'ai rebaptisé depuis belle lurette et il est bien protégé par un htaccess et un mot de passe crypté, malgré cela cette arnaque marche à merveille pour le hackeurs, et si tu es d'accord on peut tester sur ta boutique !




Et que penses tu de ceci ?
Citation (sykaflex @ 26 Feb 2010, 17:01) *
...
d'autant plus que d'après toi "l'arnaqeur" utiliserait la combine de bonbec, connaitrait le nouveau nom de ton dossier admin, et malgré .htaccess et .htpassword, déboulerait sur ton file_manager.php que tu aurais viré de ton serveur puisque la prudence et les faq t'ont recommandé de le virer !




Je savais qu'on devrait supprimer le dossier maboutique.com/install, juste après l'installation de la boutique, je savais aussi qu'il était conseillé de renommer d'autres dossiers et fichiers (ex: admin, htpasword ou l'heberger dans un autre dossier sécurié ou sur un autre serveur , etc.)

Et je suis surpris de savoir qu'il y'avait d'autres fichiers (comme file_manager.php) que la FAQ nous conseil de virer !

Confirmes tu cette affirmation ?
Si oui, pourras tu nous faire un lien, stp vers cette information ? car j'en ai jamais vu dans la FAQ.


Pour finir, j'en profite de ta présence dans ce sujet pour savoir si il faut installer une mise à jour (patch) quelconque après l'install de "Oscommerce MS2.2 RC1 W3C-3" ?
j'ai consulté la page de téléchargement mais il n'y a pas de patch pour cette derniere version, seulement pour la MS2 d'origine (l'ancienne), J'ai lu également les sujet dans la rubrique sécurité et mise à jour, et je suis un peu perdu.

Autrement, j'aimerai demander, actuellement quelque est la version de oscommerce ainsi que du patch le plus à jour ?

Merci infiniment à toi et au reste de l'équipe, pour votre assistance et vos efforts démésurés.
Soyez bénit


--------------------
Oscom V 2.3.4 Ubuntu 14.04 LTS
10000000 merciS à l'équipe anglophone et francophone pour ce beau travail !

- Ta parole et ta pensée peuvent changer le monde. Alors agit pour construire.
- Tu es un être unique car Dieu ne fait pas de photocopie.
- Tu as le Pouvoir de Choisir ... la Vérité et de Refusez la mort.
- Evite le gaspillage (alimentaire, matériel, vestimentaire, ...) et Re-deviens un humain responnsable.
- Savoir qui es ton créateur c'est le debut de la science, te Soumetre à sa volonté c'est Réuissir ta vie : c'est le but de la vie sur tèrre !
- Les mains inactives appellent la pauvreté.
- Science sans conscience n'est que ruine de l'âme. Donc ne te limite pas à être intélligeant, cherche surtout La Sagèsse.
- L'Amour "véritable" et "inconditionnel" est l'unique solution aux multiples problemes du monde (violence, injustice, manipulation, pauvreté, ...).
Go to the top of the page
 
Bonbec
posté 29 Mar 2010, 15:36
Message #17


Ceinture marron OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1543
Inscrit : 30-May 06
Lieu : Vichy (03)
Membre no 10583



Citation (ngmsky @ 29 Mar 2010, 15:12) *
D'une part, connaissant, la réputation du couple .htaccess et .htpassword et d'autre part, un membre déclare que même avec ce couple, l'accès à ces ressources est toujours possible à n'importe qui, ça fait quand même réfléchir.

Il devait avoir l'accès à son administration dans son cache, en vidant le cache l'accès est impossible d'accéder à l'administration sans passer par l'.htaccess.
Pour ma gouverne personnelle, quelle est la réputation du couple .htaccess et .htpassword ?


--------------------
Config 1 en live : Osc 2.2 très fortement modifié ... UTF-8 et Php 5.4.
Contribs installées : down_for_maintenance_v 2.3 | Estimated Shipping v1.5 | imprint_1_3_5 | low_stock_report_v2.04 | visible_countries_1.2b | Products Tabs | shoppingCart_cleanup_v1.01.0 | + trop de bidouilles persos pas très OsCommerce (erreurs de jeunesse)
Config 2 en local avec UwAmp : Osc Phoenix
Go to the top of the page
 
ngmsky
posté 29 Mar 2010, 19:52
Message #18


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 90
Inscrit : 7-November 09
Lieu : PARIS
Membre no 26487



Citation (Bonbec @ 29 Mar 2010, 15:36) *
Il devait avoir l'accès à son administration dans son cache, en vidant le cache l'accès est impossible d'accéder à l'administration sans passer par l'.htaccess.

Bonjour cher ami et merci pour ta réponse.

J'avais aussi pensé au cache mais j'avais tout de suite écarté cette hypothese. je m'explique :
si le cache a en mémoire la page : monsite.com/page1.php?action=abcd, il mettra à nouveau la page monsite.com/page1.php?action=abcd&&var=x, même si les deux pages contiennent exactement le même code html. En résumer, c'est le nom complet de la page qui est pris comme parametre pour le cache.
Or en lisant brouillard il a utilisé ce lien pour tester cette vulnérabilité :
[Lien supprimé]
Et je ne pense pas que ce lien soit le même que celui qui s'affiche qu'on on est dans la page d'admin de la boutique.
Je vous laisse vérifier, sinon je le ferai de mon côté car pour l'instant je me renseigne avant d'installer et testester Oscom.
Je veux dire par là que ceci n'est qu'une supposition que je vais vérifier d'ici quelque minutes (après l'installation) ou que vous pourrez vous vérifier de votre côté.

Et si cette adresse est celle utilisée dans l'admin, je serrai d'accord que c'est le cache qui avait répondu mais dans le cas contraire, qu'est ce qui s'est passé ... ???

Citation (Bonbec @ 29 Mar 2010, 15:36) *
Pour ma gouverne personnelle, quelle est la réputation du couple .htaccess et .htpassword ?

Sans hésiter, je suis sûre à 99,99% que tu trouvera la recommandation d'utiliser ce couple dans plus de 70% des sites qui parlent de comment sécuriser son site web, en commençant par la FAQ d'oscommerce, ici même.

En même temps, je reconnais que ce couple n'est pas la garantie d'une sécurité à 100% mais elle rendra la vie des hacqueurs encore plus difficile.
De plus, je pense que les mots de passe sont et les données sont envoyé en claire à travers le reseau d'ou la néccéssité de le compléter par du une solution de criptage de donnés (come SSL) pour avoir du httpS dans le navigateur (cryptage du mot de passe et des données entre le client et le serveur).


Je reste receptif et à l'écoute donc n'hésitez surtout pas de me corrigez si j'ai raconté des salades. car on est là avant tout pour apprendre et quand on apprends, les erreurs sont possibles.

juste en passant, quelqu'un peut-il me dire quelle est la derniere mise à jour (patch) qu'il faut prendre pour la MS2.2 RC1 w3c-3 ? Je veux installé Osc mais j'aimerai etre sûre que la version que je vais installer est bien stable et que j'ai bien le dernier patch de sécurité à ce jour.

Je suis désolé mais j'ai du mal me retrouver dans le forum et je préfère être sûre car on ne plaisante pas avec la sécurité.

Merci à tous


--------------------
Oscom V 2.3.4 Ubuntu 14.04 LTS
10000000 merciS à l'équipe anglophone et francophone pour ce beau travail !

- Ta parole et ta pensée peuvent changer le monde. Alors agit pour construire.
- Tu es un être unique car Dieu ne fait pas de photocopie.
- Tu as le Pouvoir de Choisir ... la Vérité et de Refusez la mort.
- Evite le gaspillage (alimentaire, matériel, vestimentaire, ...) et Re-deviens un humain responnsable.
- Savoir qui es ton créateur c'est le debut de la science, te Soumetre à sa volonté c'est Réuissir ta vie : c'est le but de la vie sur tèrre !
- Les mains inactives appellent la pauvreté.
- Science sans conscience n'est que ruine de l'âme. Donc ne te limite pas à être intélligeant, cherche surtout La Sagèsse.
- L'Amour "véritable" et "inconditionnel" est l'unique solution aux multiples problemes du monde (violence, injustice, manipulation, pauvreté, ...).
Go to the top of the page
 
Gnidhal
posté 29 Mar 2010, 20:53
Message #19


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9221
Inscrit : 4-March 03
Lieu : Pau
Membre no 927



Cher ngmsky :
Non, il n'y a pas de patch complémentaire à la version francophone téléchargeable ici car elle ne présente pas de faille.
Mais rien n'est inviolable, même des banques ou le Pentagone se sont vus visités par des pirates, par simple jeu parfois : quel challenge pour un hacker de dire "j'ai fait x mois de prison à la demande du FBI pour avoir hacké le Pentagone"

Non soyons sérieux : si ton admin est renommée, protégée par .htaccess/.htpasswd les risques de voir ton site hacké sont ridicules.
Toutefois, si le hacker assez malin a placé un script espion dans ton admin auparavant, le piratage reste possible.
Il sera informé de ton mot de passe et du nouveau chemin grâce à son petit script. En bref c'est comme un virus. Solution : effacer le dossier et le recréer ailleurs à partir d'une sauvegarde antérieure à l'intrusion.

Alors on peut délirer tant qu'on veut, hors de ce cas de figure, la protection par htaccess ne peut être cassée que de deux manières :
1/ la force brute : cela consiste à placer script sur un ordinateur qui tentera tous les couples log/mot de passe possibles
2/ l'espionnage préalable : cela consiste à connaitre la cible, ses habitudes et/ou avoir accès à son ordinateur pour utiliser du premier coup le bon log d'accès.
2bis/ l'espionnage des connexion vers le site (oui, s'il n'y a pas de certificat ssl sur l'admin, le log et le mot de passe sont envoyés en clair via le net)
Je mets 2bis car cette option se rapproche de la précédente et il est possible de l'éliminer en plaçant ton admin dans une zone SSL

Sinon c'est de la magie noire.

Pour le premier cas, il est possible de bloquer une attaque de ce type avec un nombre limité d'essai. Google te donnera les réponses pour cette procédure.
Pour le second, il suffit d'être prudent. Exemple: il ne sert à rien de fermer la porte à clé si tu glisses la clé sous le paillasson ou sous le pot de fleur à coté.

Don pas la peine de se prendre la tête, une sécurité d'accès ça se gère dès le début et il ne sert à rien de chercher un responsable en dehors de celui qui a mis en place le site. Que ce soit dans la FAQ ou pas, il faut protéger son administration.

Maintenant je commence à trouver que la redondance des question et des réponses dans ce post tourne au troll (comme d'habitude sur ce genre de sujet)
Alors continue à reposer les même questions et ce post ne sera pas fermé, mais sera nettoyé : j'ai le chiffon et la bouteille de javel!


--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 
NoZic
posté 30 Mar 2010, 06:38
Message #20


Ceinture noire OSC
Icône de groupe

Groupe : Membres
Messages : 2872
Inscrit : 27-June 07
Lieu : Elancourt (78)
Membre no 18127



Bonjour,

Le .htaccess a ses limites, les get post (limit get post smile.gif ).

Effectivement le .htaccess est cassable si il n'est pas maintenu correctement.
Ca fait un bail que Julietta a remonté l'info ici : Créer un .htaccess et un .htpasswd (à lire le lien super intéressant remonté par Juju : http://www.segmentationfault.fr/securite-i...limit-get-post/ - tiens c'est marrant, il y a les mêmes en-têtes de requètes en HTTP/1.1... biggrin.gif )

L'info a même intégré la FaQ : Comment finaliser l'installation, régler les chmods et sécuriser OsCommerce?

Maintenant, si on fait les choses correctement, il n'y a pas de raison. Mon admin n'est pas accessible. Et tu peux essayer de la casser avec des méthodes si "légères", ça passera pas.
Et je n'ai pas passé la correction proposée. Mais sur mon site, ça ne fonctionne pas de base, sans la correction. Le htaccess fait son taff.

Maintenant je ne testerais pas avec le limit get post dans le .htaccess... à mon avis ça passe...

Bah oui faut se mettre à la page de la sécurité de ses outils. Ce que n'a pas du faire brouillard. Son .htaccess doit toujours avoir les limit get post. C'est pour ça que ça passe chez lui.

Bonne journée

[EDIT] Oo ouuups... j'ai confuse... désolé, le lien super intéressant est remonté par Illeriane, rendons à César... ninja.gif

Ce message a été modifié par NoZic - 30 Mar 2010, 09:03.


--------------------
"Les solutions existent toujours depuis longtemps, il suffit de les trouver."
Go to the top of the page
 
Bonbec
posté 30 Mar 2010, 07:49
Message #21


Ceinture marron OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1543
Inscrit : 30-May 06
Lieu : Vichy (03)
Membre no 10583



Bonjour,
Merci NoZic pour la piqûre de rappel. Mes .htaccess sur mes différents sites ne contiennent pas les <limit></limit> (mais je ne me souvenais plus de cette faille potentielle rolleyes.gif


--------------------
Config 1 en live : Osc 2.2 très fortement modifié ... UTF-8 et Php 5.4.
Contribs installées : down_for_maintenance_v 2.3 | Estimated Shipping v1.5 | imprint_1_3_5 | low_stock_report_v2.04 | visible_countries_1.2b | Products Tabs | shoppingCart_cleanup_v1.01.0 | + trop de bidouilles persos pas très OsCommerce (erreurs de jeunesse)
Config 2 en local avec UwAmp : Osc Phoenix
Go to the top of the page
 
Gnidhal
posté 30 Mar 2010, 07:56
Message #22


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9221
Inscrit : 4-March 03
Lieu : Pau
Membre no 927




Donc un simple :
Code
AuthName "Zone Protégée "
AuthType Basic
AuthUserFile /.htpasswd
require valid-user
est blindé contre toute entrée sans mot de passe.


--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 
pelforth
posté 31 Mar 2010, 14:41
Message #23


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 8
Inscrit : 5-October 08
Membre no 23165



Simple question : A quoi sert "?action=save HTTP/1.1"

Même sans le rajouté à la fin de "file_manager.php/login.php" cela marche quand même, donc à quoi sert cette variable précisement??
Go to the top of the page
 
NoZic
posté 31 Mar 2010, 15:02
Message #24


Ceinture noire OSC
Icône de groupe

Groupe : Membres
Messages : 2872
Inscrit : 27-June 07
Lieu : Elancourt (78)
Membre no 18127



Bonjour,

Il faut lire l'article (re)cité.

Ce n'est pas une utilisation normale de la barre d'adresse ni du tableau des get d'ailleurs.
En fait, cela fait partie d'une entête du protocole http (port 80). Tu ne le vois pas mais avant de s'envoyer des trames de données, le serveur et le client (ton pc) font les présentations, parlent du beau temps et discutent un peu. Puis ils s'envoyent les trames et comme ils sont polis, ils se disent au revoir.

En passant ça par la barre d'adresse tu similes un début de présentation de ton pc en gros.
Donc tu contournes le fait de passer par un get ou un post pour discuter avec le serveur.
Donc si il subsiste les limit get post dans ton .htaccess, bah ça passe car ce n'est pas soumis à la limitation des get et post...
Malin ce hack, tout de même... se baser sur une erreur commune d'utilisation des .htaccess. Et quand je dis commune, c'est commune.
Les miens étaient comme ça et je les avaient fait avec un tuto d'un site relatif à la sécurité web...

Mais la documentation d'apache précise qu'il ne faut pas faire ce genre de limitation, donc encore une fois, il fallait lire la doc...
Comme toujours...
RTFM
smile.gif

Ce message a été modifié par NoZic - 31 Mar 2010, 15:02.


--------------------
"Les solutions existent toujours depuis longtemps, il suffit de les trouver."
Go to the top of the page
 
Madmaxx
posté 4 Apr 2010, 19:12
Message #25


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 136
Inscrit : 25-October 09
Lieu : Gironde (Médoc)
Membre no 26412



Citation (Gnidhal @ 30 Mar 2010, 07:56) *
Donc un simple :
Code
AuthName "Zone Protégée "
AuthType Basic
AuthUserFile /.htpasswd
require valid-user
est blindé contre toute entrée sans mot de passe.

heu pas tout a fait
en faite en terme de sécurité informatique ou de piratage (au choix) le fait de laissé le .htpassword dans le eme rep et une faillle

on peut atteindre le .htpassword et ensuite casser le cryptage soit en local avec une machine dédié a cela
soit il ya des site qui te permette de le faire

alors 2 sécurités de plus:

la premiere consiste a ne pas nommé ton fichier en ".htpassword" mais en ".foutlecamps " par exemple
nom que tu repercute dans ton .htaccess
et la deuxieme secu consite a le placé ailleurs
Code
AuthUserFile /mon/chemin/sur/mon/server/htdocs/mon rep (admin ou autre)/encore un rep/.foutlecamps
AuthName "Authentification requise"
AuthType Basic
require valid-user

on est sur le meme code mais avec un petit plus

et pour finir
le tout chmod en 400 ou 440 ou 444
bref aucune ecriture possible dessus
sachant qu'en 400 seul le owner peut lire le fichier (soit le server et toi par ton client ftp)
mais pour le modifier faut le remettre en 600, 640 ou encore 644
dernier point tres important qui est une faille connu depuis la nuit des temps
ne pas laissé d'espace inutile dans ce genre de fichier

dans le rep password par exemple pas de retour chariot a la fin de la ligne on laisse le curseur sur le dernier caractere ecrit
et ceci est valable dans le .htaccess aussi

entre cela et le fait de renommer son admin oui c'est blindé
cela est encore mieux si on heberge l'admin sur un autre server ou un sous domaine ( qui est dans un rep different) la ca devient quasi impossible de retrouver le path

@+

Ce message a été modifié par Madmaxx - 4 Apr 2010, 19:13.


--------------------
de la sueur, de la douleur, de la rigueur pour accouché de sa boutique. tels sont les ingrédients de la réussite
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
faites comme moi abusez de ces liens (et encore je trouve que je n'en abuse pas assez)
FAQ ## un lien magique ## contrib oscommerce-fr ## contrib oscommerce.com ## MANUEL MS2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Petit pour guide résoudre tout vos problèmes avec Oscommerce
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Serveur HTTP : Apache/2.2.4 (Ubuntu) DAV/2 mod_python/3.3.1 Python/2.5.1 PHP/5.2.3-1ubuntu6.5 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07) mod_perl/2.0.2 Perl/v5.8.8, Version PHP : 5.2.3-1ubuntu6.5 (Zend : 2.2.0), Base de données : MySQL 5.0.45-Debian_1ubuntu3.4, Système d'exploitation Server : Linux 2.6.18-xenU .
osCommerce Online Merchant v2.2 RC1 W3C
Go to the top of the page
 

2 Pages V   1 2 >
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 28th March 2024 - 09:25
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)