JeuWeb Créez votre jeu par navigateur !

Akira777 · 26-07-2011, 03:05 PM

Erreur 405, apparement ton .htaccess est bien protégé xD

Si tu as un serveur dédié chez OVH, Oxyd ou 1&1 avec Apache pré-installé, c'est bien protégé... En revanche, tu peux voir des sites comme nin**rpg.***, qui ne le sont pas.

Ca vient de la config d'apache qui autorise exclusivement les méthodes GET, POST, HEAD et OPTIONS dans les requêtes, si elle autorise les requêtes PUT, c'est la fin.

Wells · 26-07-2011, 03:24 PM

je suis sur un ptit hébergeur trés bon que je conseille à tous (minute pub au passage): http://oxyd.fr/

Bon je suis un peu plus rassuré déjà Wink

Akira777 · 26-07-2011, 03:32 PM

Ouais c'est clair ! Bon après quand je dis qu'il y'a une faille, ca ne fonctionne évidement pas partout (heureusement !).

La technique est simple, tu fais un petit script PHP, qui envoie une requête HTTP et qui intègre le résultat de cette requête dans ta page.
Ta requête HTTP, tu lui demandes simplement, de l'envoyer en suivant la méthode "PUT" au lieu des habituels "GET" et "POST".

Le soucis c'est qu'une fois le résultat obtenu, il faut prendre chaque lien de la page manuellement, et relancer la requête avec cette nouvelle URL. A moins d'automatiser le tout via un script plus compliqué et un peu de récursivité.
Par ailleurs, les fichiers dit "médias" ne sont pas capturables avec la méthode PUT (ex : css, png, jpeg, ...). Ou du moins je n'y suis jamais arrivé. Apparement, de base Apache bloque ces méthodes pour ces fichiers.

Exemple concret : récement, j'ai réussi à visiter la version en développement d'un jeu web. Elle était protégé par un .htaccess similaire au tiens. Grâce à ça j'ai pu découvrir des URLs spéciales de debug pour obtenir de l'argent, de l'xp... qui étaient visibles directement sur la version de développement, mais pas sur la version en production (évidement), mais ces URLs fonctionnaient sur la production également...

Argorate · (Modification du message : 26-07-2011, 03:36 PM par Argorate.)

Ca fait peur ton histoire, mais je veux bien une vidéo tuto où tu montres et puis niveau code (comment ça j'en demande bcp?) ça pourait etre interessant!
J'avoue que je ne maitrise pas trop la technique que tu énonces^^

Akira777 · 26-07-2011, 03:37 PM

Hum, je ferais sûrement ça en rentrant du boulot !

Argorate · 26-07-2011, 03:39 PM

Super sympa!
Mais ça presse pas à la minute ni meme au jour non plus hein ^^
Fait ça quand t'as le temps et surtout si tu en as envi Wink

**Ter Rowan** · 26-07-2011, 03:55 PM

(26-07-2011, 03:39 PM)Argorate a écrit : Super sympa!
Mais ça presse pas à la minute ni meme au jour non plus hein ^^
Fait ça quand t'as le temps et surtout si tu en as envi

si si ça presse, sinon on va oublier

Akira777 · 26-07-2011, 04:16 PM

Tenez, j'ai fait un petit tuto image : http://img11.hostingpics.net/pics/120244tuto.jpg

Désolé, j'ai fait ça un peu rapidement u___u

Wells · 26-07-2011, 06:23 PM

suffit de faire ca:

<limit GET POST>
require valid-user
</limit>

pour être protégé du coup?

**niahoo** · (Modification du message : 26-07-2011, 07:21 PM par niahoo.)

GET POST PUT HEAD DELETE alors ?

edit:

The method names listed can be one or more of: GET, POST, PUT, DELETE, CONNECT, OPTIONS, PATCH, PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK, and UNLOCK. The method name is case-sensitive. If GET is used it will also restrict HEAD requests. The TRACE method cannot be limited.

http://httpd.apache.org/docs/2.0/mod/core.html#limit