À l’attention des personnes qui éditent leur site en direct (c’est très mal) et/ou qui oublient de supprimer leurs fichiers de sauvegarde avant de mettre en production, ce tweet devrait vous faire réfléchir…
Un hack de brute bête et méchant.
Si vous éditez rapidement vos pages sur place et/ou que vous faites une copie de sauvegarde, les fichiers de sauvegarde que vous créez restent disponibles par défaut, et ne seront pas interprétés comme des scripts. Il devient facile d’accéder à votre code source et donc, éventuellement à des données sensibles comme les crédentiels de votre base de données par exemple.
Si vous êtes sur Apache, vous pouvez ajouter ceci dans votre fichier de configuration principal pour colmater cette vulnérabilité:
<Files ~ "(\.(bak|old)|\~)$">
Order allow,deny
Deny from all
Satisfy all
</Files>
Pour terminer, relancez l’indien (^_–) ~ ☆
Simply wish to say your article is as surprising.
The clarity on your put up is just great and that i could assume
you are an expert on this subject. Fine together with your permission allow me to take hold of your feed to stay up to date with imminent post.
Thanks one million and please keep up the gratifying work.