| |
| |
|
|
|
|
| |
|
| |
|
| :: |
| Auteur |
Message |
Conchise
PR0
Inscrit le: 09 Jan 2008
Messages: 53
|
 Posté le: Lun Fév 04, 2008 10:14 pm Sujet du message: Sécuriser définitivement son include/ |
|
|
Voici une autre amélioration de sécurité que j'ai faite :
J'ai déplacé mon dossier include/ de phpbb3 hors de l'arborescence du site. Il n'est plus du tout accessible depuis le web. Il ne s'appelle même plus include. Il porte un nom bidon.
Je compte faire de même pour les pages admin. Et renommer tout ce que je peux. Ainsi, si une faille de sécurité est publiée et si cette faille implique un fichier à appeller directement, elle ne sera pas disponible sous un nom trivial sur mon site. Juste histoire de compliquer la vie au hacker et de rendre inutilisable les logiciels des p'tits joueurs.
Pour ceux qui sont intéressés, voici comment procéder :
Note : Votre forum sera indisponible le temps de l'étape 4 (supression des anciens fichiers, copie des nouveaux. 10 min. chez moi)
1. On va utiliser un scripte qui cherche et remplace des chaînes de caractères dans des fichiers. C'est un scripte linux. Si vous ne pouvez pas le faire tourner chez vous, il est possible de le lancer en connexion ssh sur le serveur, donc finalement, ce tuto peut servir à tout le monde. Dans ce cas, effectuer un bakup des fichiers du serveur avant.
Procedure :
1. Effectuer deux bakups des fichiers du forum : un dans un dossier "bakup/" l'autre dans un dossier "travail/". Par la suite, on effectuera les modifications dans le dossier travail/
2. On cree un scripte général qui va rechercher dans le dossier courant et ses sous dossiers tous les fichiers spécifieés et faire le remplacement demandé.
utilisation : scripte *.php "trouver" "remplacer"
| Code: | #!/bin/sh
for i in $(find . -type f -name "$1")
do
mv "$i" "$i.bak"
sed "s/$2/$3/g" "$i.sedsave" > "$i"
echo "$i"
rm "$i.bak"
done
|
3. phpbb fait référence au dossier include de cette facon :
| Code: | | $phpbb_root_path . 'includes/ |
On veut le remplacer par :
| Code: | | '/chemin/complet/vers/nouveau/dossier/ |
Comme sed utilise (parait-il) des expressions régulieres, il faut un peu modifier ces expressions poour lancer le scripte. De plus, une recherche rapide avec la fonction rechercher du système montre que seuls les fichiers .php font appel aux fichiers du dossier include. Il faut placer notre scripte dans le dossier travail/ et le lancer :
| Code: | | ./scripte "*.php" "\$phpbb_root_path \. \'includes\/" "\'\/chemin\/complet\/vers\/nouveau\/dossier\/" |
L'opération a pris 3 secondes sur mon pc.
4. Supprimer les fichiers du serveur. Il faut ensuite copier le contenu du dossier include dans /chemin/complet/vers/nouveau/dossier/ et copier le contenu du dossier travail sans le dossier include sur son emplacement web.
C'est fini. |
|
|
| Revenir en haut de page |
|
 |
|
|
Conchise
PR0
Inscrit le: 09 Jan 2008
Messages: 53
|
| Posté le: Mar Fév 05, 2008 8:12 pm Sujet du message: Re: Sécuriser définitivement son include/ |
|
|
Bon, j'ai déjà trouvé un petit bug :
search.php ligne 229 (chez moi)
| Code: | | require("{$phpbb_root_path}includes/search/$search_type.$phpEx"); |
N'a pas été remplacé. Je ne connais pas cette syntaxe.
Ca veut dire quoi {$variable} ?
Un peu plus haut ligne 224 la référence à search_type a été correctement remplacée.
voilà. Si je trouve d'autres bugs, je préviendrai. |
|
|
| Revenir en haut de page |
|
|
dcz
Administrateur - Site Admin
Inscrit le: 28 Avr 2006
Messages: 14131
|
| Posté le: Mer Fév 06, 2008 8:26 pm Sujet du message: Re: Sécuriser définitivement son include/ |
|
|
Dans le principe, c'est pas dit que ce soit si utile que ça de faire tout ça, un bon vieux deny from all couplé à la vérification systématique de la constante IN_PHPBB rend déjà les choses très difficile.
Tu évites cependant de la sorte les usurpation ou le crack du mot de passe FTP, pour peu que le dossier soit vraiment à l'extérieur du chroot de l'utilisateur (pas accessible par le compte ftp associé) ce qui n'est à priori possible que sur un dédié.
Et avec un dédié, autant désactiver les accès ftp au profit des accès SSH, winscp rend la chose très simple, et permet l'utilisation de clés pour les puristes qui ne voudrait pas même envoyer leur mot de passe ...
Une couche supplémentaire de port knocking peut également apporter un plus pour les serveurs dédiés.
Et aussi, de manière générale, les bonne mesure de sécurité sont d'abord celle qui n'ont pas besoin de se cacher, le concept anglophone de la sécurité par l'obscurité ( "Security through obscurity" ) a maintes fois été décrié comme ne pouvant pas se substituer à des protections plus franches et directe. Faire du renommage de fichier peut aider un peu, mais si c'est le dernier ou le seul rempart contre le hack, il y a toutes les chances que le hacker réussisse quand même son coup.
++ |
_________________
Useful links :
SEO Forum || SEO Directory || SEO phpBB || SEO phpBB3 || Search
____________________
Liens Utiles :
Forum référencement || Annuaire référencement || Référencement phpBB || Référencement phpBB3 || Recherche |
|
| Revenir en haut de page |
|
|
skieur
PR1
Inscrit le: 19 Aoû 2007
Messages: 126
|
| Posté le: Dim Juin 22, 2008 10:20 am Sujet du message: Re: Sécuriser définitivement son include/ |
|
|
bonjour,
| Citation: | couplé à la vérification systématique de la constante IN_PHPBB rend déjà les choses très difficile.
|
Quest ce que cela veut dire ?
Merci. |
_________________
site de ski alpin I annuaire sport et webmaster favorise le référencement |
|
| Revenir en haut de page |
|
|
SeO
Administrateur - Site Admin
Inscrit le: 15 Mar 2006
Messages: 3477
|
| Posté le: Dim Juin 22, 2008 12:03 pm Sujet du message: Re: Sécuriser définitivement son include/ |
|
|
Dans tous les script "publiques" (viewtopic.php viewforum.php etc), le code définit la constante IN_PHPBB :
| Code: | | define('IN_PHPBB', true); |
Et dans tous les scripts inclus, il vérifie que la constante est définie :
| Code: | if (!defined('IN_PHPBB'))
{
exit;
} |
Du coup, on peut pas inclure les (ni accéder directement au) scripts de includes/ sans passer par un script autorisé. |
_________________
phpBB SEO || SEO Forum || Forum Référencement
GYM Sitemap & RSS for phpBB3 has been released ! || GYM Sitemap & RSS for phpBB3 est disponible ! |
|
| Revenir en haut de page |
|
|
skieur
PR1
Inscrit le: 19 Aoû 2007
Messages: 126
|
| Posté le: Dim Juin 22, 2008 9:03 pm Sujet du message: Re: Sécuriser définitivement son include/ |
|
|
| Ok, merci bien du renseignement. |
_________________
site de ski alpin I annuaire sport et webmaster favorise le référencement |
|
| Revenir en haut de page |
|
|
|
|
| Navigation |
Autres sujets de discussion |
|
|
|
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
