Bacho's Design

The Online Maths School
🇺🇸 🇫🇷

Attaque sur un site web: Manipulation d'URL

Qu'est ce q'une URL?

    L'URL (Uniform Resource Locator ou en français localisateur uniforme de ressource), appelée adresse web, est une chaine de caractère ASCII permettant d'indiquer les ressources du World Wide Web. Elle est formée de cinq parties:

étudions l'URL suivant: http://www.bachosdesign.com/fr/index.php?page=contactus
  • Le Protocole: C'est en quelque sorte le langage de communication sur le réseau, il peut être le FTP, le News, le Mailto, ect mais le plus connu reste le protocole HTTP (HyperText Transfer Protocol). Dans mon exemple le protocole est "http://".
  • Identifiants / Mots de passe: Spécifications des paramètres d'accès à un serveur sécurisé.
  • Nom du serveur: C'est le nom de domaine qui contient la ressource souhaitée. Dans mon exemple c'est le "www.bachosdesign.com".
  • Numéro de port: C'est un numéro permettant d'identifier la ressource demandée (80 par défaut et dans ce cas il est facultatif).
  • Chemin d'accès: Permet de trouver l'emplacement dans lequel se trouve la ressource. Dans mon exemple c'est le "/fr/index.php?page=contactus".

Exemple d'attaque par Manipulation d'URL

    Plusieurs sites web dynamiques presentent des URL dangeureuses, prenons un exemple:
http://www.site.com/fr/index.php?par=15
Un pirate peut facilement modifier l'URL et accéder à une page qui lui est interdite. Il peut par exemple remplacer le chiffre 15 par le chiffre 18:
http://www.site.com/fr/index.php?par=18
Un site peut aussi se trouver dans la situation de traitement d'un cas inattendu et non apprécié:
http://www.site.com/fr/index.php?par=*****
Cela renvoie une erreur de la forme:
Warning: mysql_result(): supplied argument is not a valid MySQL result resource


Laissez votre commentaire
Fatal error: Uncaught Error: Call to a member function fetch_assoc() on bool in /home/bachosdesign/public_html/files/_setup/pages/security_article.php:142 Stack trace: #0 /home/bachosdesign/public_html/files/_setup/pages/manipurl.php(38): include() #1 /home/bachosdesign/public_html/index.php(105): include('/home/bachosdes...') #2 {main} thrown in /home/bachosdesign/public_html/files/_setup/pages/security_article.php on line 142