HTACCESS

Sécurisation de votre site avec phpbb (phpbb_root_path)

Les sites à base de CMS et de composant disponibles gratuitement sur internet sont sensibles aux attaques et aux vulnérabilités par inclusion de fichier distant (RFI).

En effet leur code est connu de tous et analysé par les hackers pour détecter des failles.

Celle-ci touche comme souvent les script contenant des chemin d'includes préfixés par une variable. En effet si le site à le paramètre register_globals à on, un paramètre GET peut alimenter facilement cette variable.

Dans cet exemple avec un forum phpbb les urls sont de la forme : http://www.example.com/?phpbb_root_path=http://sitepourri.com/page.txt???

RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*&)?phpbb_root_path=http://
RewriteRule ^.*$ - [F,L] 
PHP