Ce site n'est pas pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder, en attendant que le vrai site soit remis en ligne.

PEBKAC #7772 – but2ene

Un micro-blog mettait les logs d’accès à l’administration (horaire, adresse IP, User-Agent) dans un fichier PHP en commentaire. Le problème, c’est qu’en modifiant l’entête de la requête en mettant comme User-Agent : ?><?php [code PHP], alors ce code PHP inséré dans l’entête est exécuté lors de l’accès au fichier log, par quiconque.

J’envoie un e-mail au créateur lui expliquant la faille, et lui propose comme solution de les mettre dans un fichier log protégé tant bien que mal (.htacess, changer le nom du fichier en .ht.access.log, droit de lecture, etc.).

Il m’a répondu que tous les hébergeurs n’autorisaient pas les fichiers .htaccess, ce qui laisserait ces informations aux mains de quiconque.
La faille n’est toujours pas corrigée. PEBKAC.