Commentaires - Bypasser les .htaccess avec Limit

xer, le 16/05/2008 :

Y'as-t-il une possibilité d'envoyer des données ... sans passer par POST (comme par exemple envoyer une news bidon en exploitant la faille)

Réponse :

Dans le cas d'une page PHP utilisant le tableau $_POST, on ne récupère que les variables ayant été passées via POST donc il n'est pas possible d'utiliser une autre requête pour influencer le comportement de la page.
Après je ne connais pas assez bien la norme HTTP pour fournir une réponse générale... peut-être existe-t-il d'autres méthodes permettant d'envoyer des données (je serais quand même surpris).

tek, le 19/04/2008 :

Tu peux donner des détailles par des exemples complets qu'on puisse faire des tests aussi de son coté.
Merci

Réponse :

Dans l'article j'en ai donné un, même s'il est très simple je pense qu'il suffit. En fait ca marche avec n'importe quelle page HTML ou PHP ; tu as juste à copier-coller le .htaccess que je donne en exemple (Deny From All encadré par Limit).
Après, ce n'est qu'un exemple bateau je suis d'accord... Mais c'est assez facile de l'adapter à une situation réelle ; par exemple prend une page d'admin d'un site en PHP protégée par un .htaccess et rajoute les balises Limit !