JeuWeb Créez votre jeu par navigateur !

26-07-2011, 07:47 PM

(26-07-2011, 06:23 PM)Wells a écrit : suffit de faire ca:

<limit GET POST>
require valid-user
</limit>

pour être protégé du coup?

euh, as-tu vraiment besoin de la directive Limit ?

**Sephi-Chan** · 26-07-2011, 09:21 PM

Voici une rapide vidéo de démonstration de la faille désignée par Akira777.

Dexyne · 26-07-2011, 09:44 PM

Fort intéressant ce truc là, j'y ferais gaffe :o.

Wells · 27-07-2011, 09:55 AM

(26-07-2011, 07:47 PM)Arius Vistoon a écrit :
(26-07-2011, 06:23 PM)Wells a écrit : suffit de faire ca:

<limit GET POST>
require valid-user
</limit>

pour être protégé du coup?
euh, as-tu vraiment besoin de la directive Limit ?

Ben de ce que je comprend oui ou alors j'ai raté un truc ^^

Akira777 · 27-07-2011, 11:07 AM

(26-07-2011, 09:21 PM)Sephi-Chan a écrit : Voici une rapide vidéo de démonstration de la faille désignée par Akira777.

Exactement ça ;P

Wells · (Modification du message : 27-07-2011, 11:35 AM par Wells.)

c'est sur un serveur perso ca non (monté soit même avec la méthode d’apprentissage "Sephi approuved" ^^)? Sur un hébergement pro ce genre de faille est désactivée par défaut je pense non?

27-07-2011, 11:40 AM

(27-07-2011, 09:55 AM)Wells a écrit :
(26-07-2011, 07:47 PM)Arius Vistoon a écrit :
(26-07-2011, 06:23 PM)Wells a écrit : suffit de faire ca:

<limit GET POST>
require valid-user
</limit>

pour être protégé du coup?
euh, as-tu vraiment besoin de la directive Limit ?

Ben de ce que je comprend oui ou alors j'ai raté un truc ^^

J'ai pas mon serveur de dev sous la main (et j'ai quitté l'informatique il y a 2 ans..), mais en lisant la doc apache de ce que moi j'en comprend, limit ne te sert a rien (si ton but est est juste de faire un require-user)

NB : ceci n'est pas une faille, c'est un fonctionnement tout a fait normal

**Sephi-Chan** · 27-07-2011, 11:58 AM

(27-07-2011, 11:35 AM)Wells a écrit : c'est sur un serveur perso ca non (monté soit même avec la méthode d’apprentissage "Sephi approuved" ^^)? Sur un hébergement pro ce genre de faille est désactivée par défaut je pense non?

Si tu avais regardé le code (pourtant il y en a peu !), tu aurais vu que je cible un serveur tout ce qu'il y a de plus réel.

(27-07-2011, 11:40 AM)Arius Vistoon a écrit : NB : ceci n'est pas une faille, c'est un fonctionnement tout a fait normal

En effet, le comportement est normal mais non souhaité : le mec voulait protéger ça page mais ça n'est pas efficace.

Wells · 27-07-2011, 12:25 PM

Roh je te taquine Sephi Wink

Pour répondre à la question, même si je suis loin d’être un expert en htaccess, le limit sert justement à empêcher notamment le détournement par la méthode PUT non?

Akira777 · 27-07-2011, 12:30 PM

Autre solution, ne pas faire d'identification en .htaccess. Je trouve ça pratique pour protéger un FTP (qui sera affiché en HTTP), mais pour protéger un dossier admin....