Discussion :

[julien.63]

Salut,
Je viens de me faire engueuler par un ami (sympa !) pour la raison suivante.
Je suis en train de reinstaller mon serveur.
Je n'avais pas encore ajouter "index.php" à DirectoryIndex dans httpd.conf, si bien que n'importe quel utilisateur pouvait lister le contenu de mes répertoires.
Ainsi il pouvait voir la page connect.php dans répertoire connect.
voici le contenu de ma page.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
<?php
$host_db = "*****"; // server name
$user_db = "*****"; // db user name
$password_db = "*****"; // db password
$bdd_db = "******"; // db database name
 
function connect()
{
	global $host_db,$user_db,$password_db,$bdd_db;
	$connect_db = mysql_connect($host_db,$user_db,$password_db);
	mysql_select_db($bdd_db,$connect_db);
	return $connect_db;
}
 
?>

A partir de là est-il possible pour un personne mal intentionée de récupérer le code qui se trouve dans cette page ?
J'ai essayé de l'ouvrir mais naturellement, elle apparait blanche puisque rien n'est renvoyé. J'ai éssayé de la télécharger, idem.


(je ne remets pas en question la nécessité de vérouiller les répertoires, j'ai déjà modifié mon httpd.conf )

[lolodev]

au pire change les mots de passe de l'accés mysql

[Mr N.]

Aucun soucis, si php est activé alors seule une page blanche sera visible. T'imagines sinon le nombre d'applis vulnérables ????

[helww]

Il faut savoir qu'il est impossible de récuperer la source php meme si le contenu du dossier est visible et meme si ton mal intentioné a un hyper super navigateur .
Donc , il a put utiliser une autre chose pour pirater ton site (Une faille dans ton script par exemple )
Satisfait ?

[julien.63]

Merci pour vos réponses,
je voulais en avoir le coeur net !