On Sat, 17 Sep 2011 00:01:43 +0200, Aéris <ae...@imirhil.fr> wrote: ... > HAVIJ nécessite un site web non sécurisé pour fonctionner. > Il se base sur les faiblesses des applications web autour de MySQL, pas > de celles de MySQL directement.
ben, d'après ce qu'il dit l'accès vers le svr mysql est ouvert (p3306) ... > Non effectivement, HAVIJ fonctionne par injection SQL et peut accéder à > ta base sans avoir d'accès au MySQL. > Mais ça, tant que PHP vivra… ça n'est pas tout à fait vrai: disons plutôt tant que les programmeurs php ne contrôleront correctement ni leurs morceaux de code ni les droits des fichiers & directories. > Une « parade » possible est de limiter au maximum les droits des comptes > utilisateurs MySQL. > Un compte par utilisateur et par base de données, des droits > ultra-limités (select / update / delete suffisent généralement), etc. Ajoutons: un escaping systématique de toutes les données envoyées vers la DB. Mais au risque de me répéter, la meilleure parade reste d'inclure le code "actif" dans la DB (procs stockées); mais je doute qu'à ce jour ce soit facile (voire même possible à 100%) avec mysql. -- Quid me anxius sum? [ What? Me, worry? ] -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110917003712.0eda03b3@anubis.defcon1
