HTACCESS

Vulnérabilité touchant webcalendar via tools/send_reminders.php

Votre site peut être victime de hacking par inclusion de fichiers distants.

Pour cela il faut que register globals soit à ON. Dans ce cas les paramètres GET de l'url sont déclarés comme des variables accessibles par leur nom.

Le paramètre includedir permet ici de définir le préfixe des chemins dans l'instruction include.

Cette règle dans le fichier .htacess vous protégera de ce type d'attaque en interdisant le paramètre includedir si il contient une url.

RewriteCond %{QUERY_STRING} ^(.*&)?includedir=http://
RewriteRule ^(.*/)?tools/send_reminders\.php$ - [F,L]
PHP