La faille htacces.

[MATTATOR]

Salutations,

Aujourd'hui pour les jeunes WebMaster,
Je vais expliquer la faille htacces.
Pour ceux qui ne connaissent pas, le htaccess sert entre autre à
sécuriser une partie du site en demandant un login est un mot de passe.
Si vous ne rentrez pas les bons paramètres, l’accès est refusé.
Cette protection ne s’applique pas qu’à l’index mais à tout le dossier et à ses sous-dossiers.

Comment contrer cette faille ?

Dans le dossier protéger, on peu constater un fichier nommé .htacces, ce fichier vous demande le login et le mot de passe.

Code

PerlSetVar
AuthFile secret/passlist.txt
AuthName "Accès Restreint"
AuthType Basic
require valid-user​

Alors voyons ce que ça dit. La première ligne dit où est le fichier avec tous les mots de passes. En effet, le .htaccess fait appel à un fichier texte avec tous les mots de passes en clair !
Il peut se nommer de différente façons (passlist.txt etc... pour les plus courant).

Nous y arrivons,
Comment se protéger contre cette faille,
On va interdire au utilisateur d'accéder au fichier texte.
Pour cela on va mettre dans le dossier .htaccess
ceci :

Code

AuthName "Accès Restreint"
AuthType Basic
deny from all​

Deny from all = interdit à tous…

Avec ceci plus aucun visiteur n'aura accès au fichier texte qui contient les mots de passe.

PS: vous pouvez aussi crypter le mot de passe, mais cette technique est plus radical !

Bonne chance !

(Pour plus de questions poser les après et désolé, j'ai changer ça du point de vue hacker au point de vue webmaster donc si c'est pas tout à fait correct soyez indulgent. Merci)

 

[Superman]

En effet, le .htaccess fait appel à un fichier texte avec tous les mots de passes en clair !
Il peut se nommer de différente façons (passlist.txt etc... pour les plus courant).

Totalement faux, le .htaccess d'un dossier fait appel à un .htpasswd qui contient les accès, login et passe. Seul le login sera en clair, le passe sera en cryptage linux, ou md5 ... en gros via une chaîne irréversible (encore que !). Tout ça pour dire que si le .htaccess est bien configuré, sachant que le .htpasswd est inaccessible via le navigateur, il n'y a aucune faille exploitable de ce côté là...

 

[Connard95]

Ouais mais imaginons que le htaccess contient ceci :

<Files lefichier.php>

AuthUserFile ../.htpasswd
AuthName "nop."
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>
</Files>

Avec ce genre de code, apache refuse toute requête POST ou GET si la personne n'est pas identifié avec un utilisateur et un mot de passe se trouvant sur .htpasswd, par conséquent, logiquement, nous pouvons accéder à la page, si notre requête est différente de POST ou GET.

Voilà pour ma part,
À+

 

[Superman]

Sauf que cette faille est connue et reconnue, il est pratiquement impossible de la trouver sur un site web digne de cette qualification...

 

[Eric-77]

Je suis peut etre hors sujet mais ........je comprend rien (normal je me suis tromper de post)

 

[Superman]

Je suis peut etre hors sujet mais ........je comprend rien (normal je me suis tromper de post)

Bien le flood ? :sors:

 

[RaptorHack]

Introuvable ah moins que ton Admin sois OUI OUI cela reste introuvable ou très rare ^^


CMD:

 telenet www.victime.com

 HTTP 1/1

Vous avez contournez le Htaccess !

 

[Crix[x]]

C'est

 TEST HTTP 1/1

 

[Nearyu]

18/07/2010, 21h55

ta up' à lock