Bienvenue dans le Bac à Sable !


      Retour à la liste des mises en situation.


Imaginez que ce qui suit est un lecteur de fichiers.
Sélectionnez un fichier parmi ceux proposés et cliquez sur le bouton "Visualiser". Le fichier s'affiche.
Maintenant remplacez le nom de fichier dans l'URL par ../../motdepasse.txt. Le fichier présent sur le serveur dans un autre dossier est désormais affiché lui-aussi, comme n'importe quel autre fichier affichable présent sur le serveur, alors qu'il n'était pas destiné à l'être !

Explications et contre-mesures

Les failles include viennent d'une trop grande souplesse dans l'affichage de fichiers (locaux ou distants).
Pour contrer cela, il faut donc toujours filtrer les données entrées par les utilisateurs.
Plus d'informations.