faille apache ?

Un endroit pour dire ce que vous pensez du site Apache France, du forum, et de ce qui peut vous passer par la tête concernant les technologies du web.

Modérateur : Modérateurs

Avatar de l’utilisateur
xgarreau
Pilier de forum
Pilier de forum
Messages : 1747
Inscription : jeu. 08 juil. 2004, 9:41
Localisation : ZazouLand @ La Rochelle
Contact :

Messagepar xgarreau » lun. 06 déc. 2004, 17:15

Guide_Gnu a écrit : Merci Xgarreau, je vais implémenté ça dans ma distrib ********

OOOOPS !!!

Disclaimeur:
Cet avis est distribué dans l'espoir qu'il sera utile mais SANS AUCUNE GARANTIE, ni même une quelconque garantie d'une hypothtétique VALEUR COMMERCIALE ou ADEQUATION AVEC UN BESOIN QUEL QU'IL SOIT. Voyez la zazou publique license pour plus de détails ...
ZazouMiniWebServer : votre serveur web PHP/MySQL/SQLite sur votre pc, cd ou clé usb
Image
http://www.zmws.com/

Avatar de l’utilisateur
bertrand.serullaz
Membre avancé
Membre avancé
Messages : 60
Inscription : dim. 05 juin 2005, 0:02

Messagepar bertrand.serullaz » ven. 01 juil. 2005, 22:39

j'ai bien essayé de trouver ce qu'est le "cross-site-scripting" et ce que risque un serveur attaqué par cette méthode, mais c pas claire. Quelqu'un pourrait me faire un bref résumé ?

Sinon pour parer la bete faut que je recompile c cà ? Sauf que j'ai jamais fait ...
iBook G4 12' 30Giga Osx 10.3.9<br>Apache/2.0.54 (Unix) DAV/2 PHP/5.0.4 Server at localhost Port 80

Avatar de l’utilisateur
bertrand.serullaz
Membre avancé
Membre avancé
Messages : 60
Inscription : dim. 05 juin 2005, 0:02

Messagepar bertrand.serullaz » dim. 03 juil. 2005, 0:27

xgarreau a écrit : Je n'ai pas l'impression ...

Par contre, je pense qu'on peut faire le violent en commentant dans http_protocole.c
case 'T':
if (strcmp(method, "TRACE") == 0)
return M_TRACE;
break;


Auquel cas, on aura la méthode M_INVALID et ça génèrera un erreur 405 (je crois, pas sûr du 405 dans ce cas, ce sera peut être 400)

a+

euhh je trouve un http_protocol.c, mais rien qui ressemble à ta référence...
le plus proche c'est :

case 5:
switch (method[2])
{
case 'T':
return (memcmp(method, "PATCH", 5) == 0
? M_PATCH : UNKNOWN_METHOD);
case 'R':
return (memcmp(method, "MERGE", 5) == 0
? M_MERGE : UNKNOWN_METHOD);
case 'C':
return (memcmp(method, "MKCOL", 5) == 0
? M_MKCOL : UNKNOWN_METHOD);
case 'B':
return (memcmp(method, "LABEL", 5) == 0
? M_LABEL : UNKNOWN_METHOD);
case 'A':
return (memcmp(method, "TRACE", 5) == 0
? M_TRACE : UNKNOWN_METHOD);
default:
return UNKNOWN_METHOD;
}

comment se fait t'il qu'on a pas le même code ?
que dois-je commenter ?
iBook G4 12' 30Giga Osx 10.3.9<br>Apache/2.0.54 (Unix) DAV/2 PHP/5.0.4 Server at localhost Port 80

Avatar de l’utilisateur
xgarreau
Pilier de forum
Pilier de forum
Messages : 1747
Inscription : jeu. 08 juil. 2004, 9:41
Localisation : ZazouLand @ La Rochelle
Contact :

Messagepar xgarreau » dim. 03 juil. 2005, 21:58

Tu as du poster ça trop tard pour finir de lire le thread ;)

J'ai posté les codes pour 1.3 et 2.0, tu as juste choisi de lire le mauvais :)

a+
ZazouMiniWebServer : votre serveur web PHP/MySQL/SQLite sur votre pc, cd ou clé usb

Image

http://www.zmws.com/

Avatar de l’utilisateur
bertrand.serullaz
Membre avancé
Membre avancé
Messages : 60
Inscription : dim. 05 juin 2005, 0:02

Messagepar bertrand.serullaz » dim. 03 juil. 2005, 22:04

Arrg trop con je suis ....
:blink:

etl cross site scripting c quoi en francais ?
iBook G4 12' 30Giga Osx 10.3.9<br>Apache/2.0.54 (Unix) DAV/2 PHP/5.0.4 Server at localhost Port 80

Avatar de l’utilisateur
xgarreau
Pilier de forum
Pilier de forum
Messages : 1747
Inscription : jeu. 08 juil. 2004, 9:41
Localisation : ZazouLand @ La Rochelle
Contact :

Messagepar xgarreau » dim. 03 juil. 2005, 22:32

Pas grave ...

Cross Site Scripting, pour ce que j'en sais, ça veut dire en français "faire exécuter sur un site A un script hébergé sur un site B" (en exploitant une faille sur le site A)

a+
ZazouMiniWebServer : votre serveur web PHP/MySQL/SQLite sur votre pc, cd ou clé usb

Image

http://www.zmws.com/

Avatar de l’utilisateur
seufer
Nouveau membre
Messages : 9
Inscription : jeu. 31 mars 2005, 10:43

Messagepar seufer » lun. 19 sept. 2005, 17:51

Bonjour,
Moi aussi on m'a conseillé de mettre une rewriterule pour la faille trace/track, mais que veux dire le flag [F]

Code : Tout sélectionner

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]


Est ce l'utilisation de cette règle peut mettre la pagaille avec mes autres rewriterule

Merci à vous
Seufer

Avatar de l’utilisateur
The BLION Corp.
Membre avancé
Membre avancé
Messages : 51
Inscription : mer. 02 juin 2004, 9:44
Localisation : Lyon, France
Contact :

Messagepar The BLION Corp. » sam. 20 mai 2006, 4:45

Gandalf a écrit :edit: sinon, encore une idée qui me trotte dans la tête depuis un certain temps : créer un module apache "mod_terminator", qui aurait pour rôle de gentiment couper la connection avec le client aussi vite que possible s'il reçoit une requête estimée comme venant d'un hacker... (par exemple les chaînes liées aux vulnérabilités possibles, les bots, les méthodes non tolérées...)
je sais que ce n'est pas très "HTTP conformant" mais à quoi bon perdre du temps et des ressources système à répondre à des requêtes malveillantes ? autant couper la connection avec le client directement...
comme en gros ce module ressemblerait à mod_rewrite avec la possibilité de couper la connection, je me demande si ça ne serait pas plus simple de patcher mod_rewrite pour ajouter un flag [K] pour "Kill connection".

Quelque chose comme <a href='http://www.modsecurity.org/' target='_blank'>ça</a> ?

Avatar de l’utilisateur
Gandalf
Sorcier des forums
Sorcier des forums
Messages : 2528
Inscription : jeu. 04 déc. 2003, 22:58

Messagepar Gandalf » sam. 20 mai 2006, 15:56

en gros... oui :)

je connais l'existence de ce module depuis un petit moment, mais je ne l'ai jamais essayé.

Ils en parlent sur ce très bon site : <a href='http://www.apachelounge.com/' target='_blank'>http://www.apachelounge.com/</a>
Celui qui détruit quelque chose pour savoir ce que c'est, a quitté le chemin de la sagesse.

wasted
Membre
Membre
Messages : 10
Inscription : jeu. 09 nov. 2006, 11:33

Messagepar wasted » jeu. 09 nov. 2006, 11:39

Bonjour les gens,

Moi j'ai un p'tit problème avec cette méthode trace: après avoir mis en place mon apache pour une utilisation en reverse-proxy (avec donc le mod_proxy), jai voulu mettre en oeuvre une protection contre la méthode trace avec mod_rewrite, mais il semblerait que cela ne fonctionne pas ... d'après mes recherches, ça viendrait du fait que le mod_proxy récupère la requête avant le mod_rewrite, et l'empêche donc de faire son traavil (grossièrement).

De ce fait, il semblerait aussi qu'une configuration pointue de l'ordre des modules, et l'utilisation d'un flag [PT] sur le mod_rewrite (voir ici : http://www.hsc.fr/ressources/breves/apache-modules.html.fr)) soit possible.

MAJ: finalement, après analyse plus fine, ça n'est pas vraiment possible, vu que le flag PT indique que le mod_rewrite passe la main au mod_proxy, mais pas qu'il arrête la requête ... or c'est ce qui nous intéresse ! (et c'est le flag F qui fait ça ...)

Mes questions sont donc:
- quelqu'un a-t-il déjà rencontré un pb similaire ?
- si oui comment s'en est-il sorti ?
- comment je peux faire pour tester facilement et efficacement la validité de ma solution (ou autrement dit, comment je fais une méthode trace manuellement sur mon apache ?) ?

Merci d'avance !


Revenir vers « Commentaires »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités