Faille de sécurité phpbb

Discussion dans 'Web, design' créé par PiaFlalCoOl, 10 Avril 2005.

Statut de la discussion:
Fermée.
  1. Offline
    PiaFlalCoOl NiuAge
    Peut-on se "pirater" un forum phpbb juste en modifiant cette ligne de code (j'entend par pirater pouvoir se logger sous le compte de l'admin)

    Code:
    if( $sessiondata['autologinid'] == $auto_login_key )
    Et est-il possible que quelqu'un totalement extérieur pirate facilement un ftp pour voir accès au fichier qui contient cette ligne de code.

    Vous emballez pas, je veux surtout pas jouer l'apprenti pirate, j'ai juste eu un problème avec ça...

    THX all
    PiaFlalCoOl, 10 Avril 2005
    #1
  2. Offline
    Spo0n Dr. Gonzo
    Il sait juste avoir l'accès admin si je me souviens bien.
    Spo0n, 10 Avril 2005
    #2
  3. Offline
    PiaFlalCoOl NiuAge
    Ok, c'est ce que je me disais, mais le plus important
    :arrow: Comment réparer cette faille de sécurité ? télécharger la dernière version de phpbb ?
    :arrow: Deuxième question : si il veut modifier cette ligne de code, c'est qu'il a forcément accès au FTP ? c'est surtout ça qui me fais peur lol.
    PiaFlalCoOl, 10 Avril 2005
    #3
  4. Offline
    Spo0n Dr. Gonzo
    Pour "réparer" le bug:

    Code:
    if( $sessiondata['autologinid'] === $auto_login_key )
    Spo0n, 10 Avril 2005
    #4
  5. Offline
    Spo0n Dr. Gonzo
    Non, ils ne passent pas par le FTP. ;)
    Spo0n, 10 Avril 2005
    #5
  6. Offline
    PiaFlalCoOl NiuAge
    lol ok, dès que je peux je change ça.
    Il m'a bien fait peur en tout cas :p

    THX spoon !
    PiaFlalCoOl, 10 Avril 2005
    #6
  7. Offline
    PiaFlalCoOl NiuAge
    ça rassure hehe sinon c'était vraiment l'échec...
    PiaFlalCoOl, 10 Avril 2005
    #7
  8. Offline
    null ose();
    Je vais te rassurer

    :arrow:

    Si le type a accès au FTP, il va simplement aller lire le fichier config.php de PHPBB et dedans il y a les informations d'accès à la base MySQL. Là il va aller télécharger toutes tes donées et il va faire ce qu'il veut :

    - se mettre admin
    - modifier les donées
    - tout supprimer + les fichiers FTP
    - ...

    Donc si quelqu'un à le FTP, tu es d'office mal :wink:
    null, 10 Avril 2005
    #8
  9. Offline
    PiaFlalCoOl NiuAge
    lol null, je sais très bien que si il avait accès au ftp il pourrait bousiller tout le forum en 2 sec, mais il avait pas forcément d'intentions aussi $ù$ù*. Mais je voyais pas comment il avait pu modifier le fichier sans passer par mon ftp.
    PiaFlalCoOl, 10 Avril 2005
    #9
Statut de la discussion:
Fermée.