Commentaires sur : Faille dans Apache : Contourner les .htaccess avec « Limit GET POST » http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/ Projets d’un consultant en sécurité informatique Sat, 22 Aug 2015 12:46:18 +0000 hourly 1 http://wordpress.org/?v=3.4.2 Par : Amandilh http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/comment-page-1/#comment-708 Amandilh Thu, 11 Jul 2013 08:36:40 +0000 http://www.segmentationfault.fr/secu-info/contourner-htaccess-limit-get-post/#comment-708 J'arrive un peu tard, mais pourquoi ne pas utiliser pour interdire tout ce qu'on ne veut pas autoriser ? J’arrive un peu tard, mais pourquoi ne pas utiliser pour interdire tout ce qu’on ne veut pas autoriser ?

]]> Par : Eric Seguinard http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/comment-page-1/#comment-573 Eric Seguinard Wed, 01 Jun 2011 14:04:59 +0000 http://www.segmentationfault.fr/secu-info/contourner-htaccess-limit-get-post/#comment-573 Trés intéréssant émilien :) Bravo pour ton explication claire et concise Trés intéréssant émilien :)
Bravo pour ton explication claire et concise

]]> Par : faille [Wiki Echosystem] http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/comment-page-1/#comment-554 faille [Wiki Echosystem] Tue, 26 Apr 2011 13:10:55 +0000 http://www.segmentationfault.fr/secu-info/contourner-htaccess-limit-get-post/#comment-554 [...] Faille PHP ? htaccess http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/ [...] [...] Faille PHP ? htaccess http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/ [...]

]]> Par : Emilien Girault http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/comment-page-1/#comment-474 Emilien Girault Mon, 23 Aug 2010 09:08:07 +0000 http://www.segmentationfault.fr/secu-info/contourner-htaccess-limit-get-post/#comment-474 L'erreur obtenue provient bien du serveur et non de Firefox. Essayez sur Google (avec Live HTTP Headers) et vous verrez ;). Le comportement peut différer sensiblement selon l'éditeur, la version et la configuration du serveur. L’erreur obtenue provient bien du serveur et non de Firefox. Essayez sur Google (avec Live HTTP Headers) et vous verrez ;) .
Le comportement peut différer sensiblement selon l’éditeur, la version et la configuration du serveur.

]]> Par : Eric http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/comment-page-1/#comment-473 Eric Mon, 23 Aug 2010 09:04:27 +0000 http://www.segmentationfault.fr/secu-info/contourner-htaccess-limit-get-post/#comment-473 Testé avec Live HTTP Headers : j'ai changé le méthode get par un truc au hasard et ça me sort à chaque fois "requête invalide". Quelque chose est invalide dans la requéte HTTP. Problèmes envisageables : * Méthode de requête absente ou inconnue (GET, POST) * Absence d'URL * Absence d'identifiant HTTP (HTTP/1.0) * La requête est peut-être trop volumineuse * Champ Content-Length absent pour les requêtes POST ou PUT * Caractère illégal dans le nom de la machine, les soulignés (underscores) ne sont pas autorisés. On dirait donc que Firefox empêche systématiquement l'emploi de méthodes autres que GET ou POSt, donc la faille n'est pas exploitable avec ce module. Testé avec Live HTTP Headers : j’ai changé le méthode get par un truc au hasard et ça me sort à chaque fois « requête invalide ».

Quelque chose est invalide dans la requéte HTTP. Problèmes envisageables :
* Méthode de requête absente ou inconnue (GET, POST)
* Absence d’URL
* Absence d’identifiant HTTP (HTTP/1.0)
* La requête est peut-être trop volumineuse
* Champ Content-Length absent pour les requêtes POST ou PUT
* Caractère illégal dans le nom de la machine, les soulignés (underscores) ne sont pas autorisés.

On dirait donc que Firefox empêche systématiquement l’emploi de méthodes autres que GET ou POSt, donc la faille n’est pas exploitable avec ce module.

]]> Par : Emilien Girault http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/comment-page-1/#comment-463 Emilien Girault Tue, 06 Jul 2010 07:06:18 +0000 http://www.segmentationfault.fr/secu-info/contourner-htaccess-limit-get-post/#comment-463 Tu peux utiliser l'extension Firefox citée ci-dessus : Live HTTP Headers. En gros, tu sniffes la requête, et tu la rejoues en modifiant la méthode GET par autre chose. Tu peux utiliser l’extension Firefox citée ci-dessus : Live HTTP Headers. En gros, tu sniffes la requête, et tu la rejoues en modifiant la méthode GET par autre chose.

]]> Par : Joe la carotte http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/comment-page-1/#comment-462 Joe la carotte Mon, 05 Jul 2010 22:09:04 +0000 http://www.segmentationfault.fr/secu-info/contourner-htaccess-limit-get-post/#comment-462 Merci pour cet article il est super bien détaillé. Cependant, j'ai appliquer ta méthode mais maintenant que je récupère le code source le la page en mode console, comment dois-je faire pour pouvoir l'utiliser avec mon navigateur et réellement accéder a la page souhaitée? Merci pour cet article il est super bien détaillé. Cependant, j’ai appliquer ta méthode mais maintenant que je récupère le code source le la page en mode console, comment dois-je faire pour pouvoir l’utiliser avec mon navigateur et réellement accéder a la page souhaitée?

]]> Par : Emilien Girault http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/comment-page-1/#comment-323 Emilien Girault Mon, 14 Sep 2009 06:12:47 +0000 http://www.segmentationfault.fr/secu-info/contourner-htaccess-limit-get-post/#comment-323 Soit à la main avec des outils comme Netcat (qui nécessite de connaître un minimum le protocole HTTP), soit avec des extensions Firefox comme Live HTTP Headers qui permettent de rejouer une requête en la modifiant. Soit à la main avec des outils comme Netcat (qui nécessite de connaître un minimum le protocole HTTP), soit avec des extensions Firefox comme Live HTTP Headers qui permettent de rejouer une requête en la modifiant.

]]> Par : Amira http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/comment-page-1/#comment-322 Amira Mon, 14 Sep 2009 02:35:16 +0000 http://www.segmentationfault.fr/secu-info/contourner-htaccess-limit-get-post/#comment-322 Salut, Comment faire pour envoyer une requête http mal formée !!! Salut,
Comment faire pour envoyer une requête http mal formée !!!

]]> Par : Sirius http://www.segmentationfault.fr/securite-informatique/contourner-htaccess-limit-get-post/comment-page-1/#comment-317 Sirius Mon, 10 Aug 2009 17:41:31 +0000 http://www.segmentationfault.fr/secu-info/contourner-htaccess-limit-get-post/#comment-317 Il y a ça pour régler le problème: http://httpd.apache.org/docs/2.2/mod/core.html#limitexcept Require valid-user Il y a ça pour régler le problème:
http://httpd.apache.org/docs/2.2/mod/core.html#limitexcept

Require valid-user

]]>