Bonjour,

Je suis allé au bout du tuto sur créer un MVC de A a Z, depuis que j'utilisais sur un site perso.

Ces derniers temps je me suis rendu compte que ma base de données perdait des enregistrements par paquet de 10, il s'avère que c'est un robot qui arrive à accéder à la partie "cockpit" (alors que chez moi ça redirige bien) et qui clique sur tous les liens, dont les "delete" de la méthode "admin_index" des différents controllers.

Donc j'ai fait un test, et en effet si j'appelle cockpit/objets/delete/xx, ça me redirige vers blog/index mais ça exécute quand même la méthode admin_delete, ce qui pose un sacré problème de sécurité.

Alors du coup je peux surement empêcher l'accès à ce robot avec un robots.txt, mais après un humain pourrait utiliser cette faille, du coup comment puis-je combler ça ? il ne me semble pas avoir modifier cette partie "redirection" pour les non-utilisateurs.

3 réponses


tu n'as pas sécurisé ton back... pour ma part dans mon cms j'ai une fonction qui détecte si c'est une connexion au back et a ce moment la je teste si l'internaute (ou autre) est connecté sinon ben il dégage
aa mon avis tu devrais sécuriser cette fonctions dans ce sens

pour empecher les robots je pense qu'en htaccess c'est faisable

Badoche
Auteur

Et bien dans les fichiers inclus sur chaque page il y en a un qui contient une vérification "si le prefix de l'url est admin, on vérifie qu'il est bien loggé, si il ne l'est pas on le redirige vers la page d'accueil du front", seulement je ne comprends pas pourquoi la méthode "admin_delete" est quand même exécutée.

sinon oui j'ai mis à jour mon robots.txt pour qu'ils soient tous refusés, j'ai pas besoin d'indexer ce site. Mais en attendant un petit malin pourrait trouver cette faille :S

tu es sur que dans ta fonction admin_delete ce test est exécuté?
essaye de commenter le code de admin_delete et de faire un echo des données que tu utilises pour ton test peut etre qu'a un moment donnée je sais pas ta session se perd pour raison x ou y