Index du Forum » » Sécurité

Auteur

[Résolu] - petit complément de sécurité sur les modules
developpeur
24581       
 

  Posté : 15-09-2003 11:47

- Si votre NPDS tourne avec l'option (php.ini) registrar_global=on ALORS
- Si votre NPDS est à la racine de votre Web ALORS
- Si vos utilisateurs ont accès sur le serveur d'hébergement à une zone de type home/mon_membre ALORS

==> Alors ya un petit problème avec certains modules (archives-stories par exemple) qui pourrait permettre d'inclure un faux archives-stories.conf.php

LE P1 de npds 5.0 corrigera cela mais plus générallement les concepteurs de modules peuvent éliminer ce risque (faible) en incluant les lignes suivantes au DEBUT de leur module :

if (strstr($ModPath,"..") || strstr($ModStart,"..") || stristr($ModPath, "script") || stristr($ModPath, "cookie") || stristr($ModPath, "!iframe!") || stristr($ModPath, "applet") || stristr($ModPath, "object") || stristr($ModPath, "meta") || stristr($ModStart, "script") || stristr($ModStart, "cookie") || stristr($ModStart, "!iframe!") || stristr($ModStart, "applet") || stristr($ModStart, "object") || stristr($ModStart, "meta")) {
die();
}

Sur un hébergement classique, le risque est inexistant (enfin d'après moi)

Voilu



Cet article provient de NPDS

http://www.npds.org/viewtopic.php?topic=7577&forum=12