Denial of service PHP sur toutes les versions inférieures à 5.3.1

Un advisory concernant les releases PHP antérieures à la version 5.3.1 a été publié ce vendredi. En effet, la 5.3.1 contient un patch pour un DoS ayant été reporté le 27 Octobre 2009. Le problème concerne le support de la RFC 1867 dans PHP (Formulaire d’upload HTML).

WordPress Ressource Exhaustion Exploit dans toutes les versions de WordPress

36. C’est le nombre de lignes de PHP contenues dans l’exploit que je viens de tester avec intérêt. 4. C’est le nombre de serveurs contenus dans un cluster de test au boulot et qui viennent tous de cesser de répondre pendant que je testais cet exploit. Démentiel. 01h25, c’est l’heure à laquelle j’écris ce billet: vous […]

Comment rendre MySQL accessible depuis l’extérieur ? …

… Et si possible avec une gestion des accès utilisateurs cohérente. Voici une question qui revient souvent et pour laquelle certains webmasters sont un peu perdus. En effet, pour des raisons de sécurité évidente, MySQL n’autorise pas par défaut les connexions distantes. Ce billet s’adresse donc aux personnes ayant plusieurs serveurs/VMs à disposition et souhaitant […]

Vulnérabilité dans la création d’un .htaccess

Toujours lors de nos audits de sécurité, une faille particulièrement idiote qui revient très régulièrement et qui constitue un entry-point interessant est la mauvaise configuration d’une protection par le biais d’un htaccess. La plupart des administrateurs ou webmasters fouinent sur le net afin de créer leur .htaccess, et de fait, se retrouvent avec des configurations qu’ils […]