+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Page protégée (/showthread.php?tid=5391)
RE: Page protégée - Akira777 - 26-07-2011
Erreur 405, apparement ton .htaccess est bien protégé xD
Si tu as un serveur dédié chez OVH, Oxyd ou 1&1 avec Apache pré-installé, c'est bien protégé... En revanche, tu peux voir des sites comme nin**rpg.***, qui ne le sont pas.
Ca vient de la config d'apache qui autorise exclusivement les méthodes GET, POST, HEAD et OPTIONS dans les requêtes, si elle autorise les requêtes PUT, c'est la fin.
RE: Page protégée - Wells - 26-07-2011
je suis sur un ptit hébergeur trés bon que je conseille à tous (minute pub au passage): http://oxyd.fr/
Bon je suis un peu plus rassuré déjà
RE: Page protégée - Akira777 - 26-07-2011
Ouais c'est clair ! Bon après quand je dis qu'il y'a une faille, ca ne fonctionne évidement pas partout (heureusement !).
La technique est simple, tu fais un petit script PHP, qui envoie une requête HTTP et qui intègre le résultat de cette requête dans ta page.
Ta requête HTTP, tu lui demandes simplement, de l'envoyer en suivant la méthode "PUT" au lieu des habituels "GET" et "POST".
Le soucis c'est qu'une fois le résultat obtenu, il faut prendre chaque lien de la page manuellement, et relancer la requête avec cette nouvelle URL. A moins d'automatiser le tout via un script plus compliqué et un peu de récursivité.
Par ailleurs, les fichiers dit "médias" ne sont pas capturables avec la méthode PUT (ex : css, png, jpeg, ...). Ou du moins je n'y suis jamais arrivé. Apparement, de base Apache bloque ces méthodes pour ces fichiers.
Exemple concret : récement, j'ai réussi à visiter la version en développement d'un jeu web. Elle était protégé par un .htaccess similaire au tiens. Grâce à ça j'ai pu découvrir des URLs spéciales de debug pour obtenir de l'argent, de l'xp... qui étaient visibles directement sur la version de développement, mais pas sur la version en production (évidement), mais ces URLs fonctionnaient sur la production également...
RE: Page protégée - Argorate - 26-07-2011
Ca fait peur ton histoire, mais je veux bien une vidéo tuto où tu montres et puis niveau code (comment ça j'en demande bcp?) ça pourait etre interessant!
J'avoue que je ne maitrise pas trop la technique que tu énonces^^
RE: Page protégée - Akira777 - 26-07-2011
Hum, je ferais sûrement ça en rentrant du boulot !
RE: Page protégée - Argorate - 26-07-2011
Super sympa!
Mais ça presse pas à la minute ni meme au jour non plus hein ^^
Fait ça quand t'as le temps et surtout si tu en as envi
RE: Page protégée - Ter Rowan - 26-07-2011
(26-07-2011, 03:39 PM)Argorate a écrit : Super sympa!
Mais ça presse pas à la minute ni meme au jour non plus hein ^^
Fait ça quand t'as le temps et surtout si tu en as envi
si si ça presse, sinon on va oublier
RE: Page protégée - Akira777 - 26-07-2011
Tenez, j'ai fait un petit tuto image : http://img11.hostingpics.net/pics/120244tuto.jpg
Désolé, j'ai fait ça un peu rapidement u___u
RE: Page protégée - Wells - 26-07-2011
suffit de faire ca:
<limit GET POST>
require valid-user
</limit>
pour être protégé du coup?
RE: Page protégée - niahoo - 26-07-2011
GET POST PUT HEAD DELETE alors ?
edit:
The method names listed can be one or more of: GET, POST, PUT, DELETE, CONNECT, OPTIONS, PATCH, PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK, and UNLOCK. The method name is case-sensitive. If GET is used it will also restrict HEAD requests. The TRACE method cannot be limited.
http://httpd.apache.org/docs/2.0/mod/core.html#limit