Tester sa configuration serveur avec PHPSecInfo

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Tester sa configuration serveur avec PHPSecInfo

    Bonjour,

    Vu
    http://phpsec.org/projects/phpsecinfo/

    dans
    http://developpeur.journaldunet.com/...securite.shtml

    c'est un outil d'évaluation de la configuration PHP d'un serveur Web, adopté officiellement par le PHP Security Consortium. Sous la forme d'un script PHP disposant de nombreux tests - l'utilisateur pouvant en fournir d'autres au besoin, PHPSecInfo affiche pour chaque réglage de php.ini, un commentaire sur sa sécurité, avec conseils et suggestions, le tout accompagné de codes de couleur pour discerner rapidement les besoins pressants.
    a+
    Guide pour débutants des principaux outils, ressources et logiciels libres + alternatives à Google : http://www.clibre.eu/

  • #2
    Phpsecinfo

    Moi j'ai fait et voici le résultat :


    CGI
    Test Result
    force_redirect Warning force_redirect is disabled. In most cases, this is a serious security vulnerability. Unless you are absolutely sure this is not needed, enable this setting
    Current Value: 0
    Recommended Value: 1

    CORE
    Test Result
    allow_url_fopen Warning allow_url_fopen is enabled. This could be a serious security risk. You should disable allow_url_fopen and consider using the PHP cURL functions instead.
    Current Value: 1
    Recommended Value: 0

    display_errors Notice display_errors is enabled. This is not recommended on "production" servers, as it could reveal sensitive information. You should consider disabling this feature
    Current Value: 1
    Recommended Value: 0

    expose_php Notice expose_php is enabled. This adds the PHP "signature" to the web server header, including the PHP version number. This could attract attackers looking for vulnerable versions of PHP
    Current Value: 1
    Recommended Value: 0

    file_uploads Notice file_uploads are enabled. If you do not require file upload capability, consider disabling them.
    Current Value: 1
    Recommended Value: 0

    magic_quotes_gpc Notice magic_quotes_gpc is enabled. This feature is inconsistent in blocking attacks, and can in some cases cause data loss with uploaded files. You should not rely on magic_quotes_gpc to block attacks. It is recommended that magic_quotes_gpc be disabled, and input filtering be handled by your PHP scripts
    Current Value: 1
    Recommended Value: 0

    memory_limit Notice memory_limit is set to a very high value. Are you sure your apps require this much memory? If not, lower the limit, as certain attacks or poor programming practices can lead to exhaustion of server resources. It is recommended that you set this to a realistic value (8M for example) from which it can be expanded as required.
    Current Value: 33554432
    Recommended Value: 8388608

    open_basedir Pass open_basedir is enabled, which is the recommended setting. Keep in mind that other web applications not written in PHP will not be restricted by this setting.
    Current Value: /mnt/129/sdc/9/5/monsite
    Recommended Value: 1

    post_max_size Notice post_max_size is not enabled, or is set to a high value. Allowing a large value may open up your server to denial-of-service attacks
    Current Value: 2097152
    Recommended Value: 262144

    register_globals Warning register_globals is enabled. This could be a serious security risk. You should disable register_globals immediately
    Current Value: 1
    Recommended Value: 0

    upload_max_filesize Notice upload_max_filesize is not enabled, or is set to a high value. Are you sure your apps require uploading files of this size? If not, lower the limit, as large file uploads can impact server performance
    Current Value: 2097152
    Recommended Value: 262144

    upload_tmp_dir Notice upload_tmp_dir is disabled, or is set to a common world-writable directory. This typically allows other users on this server to access temporary copies of files uploaded via your PHP scripts. You should set upload_tmp_dir to a non-world-readable directory
    Current Value: (0)
    Recommended Value: A non-world readable/writable directory

    CURL
    Test Result

    file_support Warning A security hole present in your version of PHP allows the cURL functions to bypass safe_mode and open_basedir restrictions. You should upgrade to the latest version of PHP.
    Current Value: 4.4.3-dev
    Recommended Value: 5.1.6+ or 4.4.4+

    SESSION
    Test Result

    save_path Notice save_path is disabled, or is set to a common world-writable directory. This typically allows other users on this server to access session files. You should set save_path to a non-world-readable directory
    Current Value: /mnt/129/sdc/9/5/monsite/sessions (0755)
    Recommended Value: A non-world readable/writable directory
    use_trans_sid Pass use_trans_sid is disabled, which is the recommended setting
    Current Value: 0
    Recommended Value: 0

    TEST NOT RUN
    Test Result

    Core::allow_url_include Not Run You are running a version of PHP older than 5.2, and allow_url_include is not available
    Core::group_id Not Run Functions required to retrieve group ID not available
    Core::user_id Not Run Functions required to retrieve user ID not available

    TEST RESULTS SUMMARY
    Test Result

    Notice 9 out of 15 (60%)
    Pass 2 out of 15 (13.33%)
    Warning 4 out of 15 (26.67%)

    comme je suis anglophobe, et excepté le basic et turbo pascal (que je ne sais plus comment ça va) tout est du chinois.
    Jusqu'à présent j'ai fait un blog mais c'est très très limité. Comme free offre un hébergement gratos alors je viens de me lancer. Depuis 4 jours homme plein je buche sur les descriptions anglich. Je suis nul de chez nul car même le tuto pour les nuls n'est pas fait pour moi. Manque trop de bases qui ne sont pas expliquées car trop évidentes pour ceux qui savent.
    Vous connaissez la chanson : prendre un enfant par la main et lui montrer le chemin.
    exemple : mettre ph 1
    .htaccess (vide ou il faut y mettre quelque chose ?)
    le nom c'est admin et le mot de passe c'est celui choisit avant (la galère pour le savoir)!
    sessions reste vide... d'autres mettent des trucs....
    Pas de bol pour vous, je suis un vrais débutant. J'ai mis et effacé au moins une dizaine de fois mon répertoire car ma racine sur free n'est pas vide, il y a de nombreux répertoires. Enfin, je prends ma plume... mon clavier pour vous dire que j'ai ma page "welcome to the frontpage". J'ai la version gratos de dream et ne me demandez pas ce que c'est que le sql et ces autres abréviation bizarre. Va falloir poursuivre... je m'accroche.
    A+ et merci pour les aides un peu disparates sur des sites de joomla french.

    2ième post....

    Commentaire


    • #3
      Question d'un (encore plus) Nul : comment fait-on pour installer le bidule ?
      Aide-toi, et le ciel t'aideras !

      Commentaire


      • #4
        Tu dézippes dans un dossier de ton site (par exemple phpsecinfo) puis tu affiches l'url http://www.tonsite.tld/phpsecinfo/

        Mets un .htaccess pour empêcher l'accès une fois consulté ou supprimes le dossier si tu ne veux plus t'en resservir.
        MWIP pour les intimes

        M. W. I. Prod. (Documentations et téléchargements pour Joomla!)

        Commentaire


        • #5
          Dans le même genre en stand alone il y a Joomla! Tools Suite (JTS-sa) & HISA (HISA-sa)

          Très bon aussi...
          Apprendre à apprendre........
          www.octeam.fr
          Pas de support par MP

          Commentaire


          • #6
            En tout cas Merci... parce que le local ça évite les problèmes de ftp mais en cas d'attaque... c'est la machine personnelle qui prend

            Mouep elle prendra moins
            Membre du fan club des Doux Rêveurs

            Commentaire


            • #7
              Mais on fait quoi après phpsecinfo ?

              ben....
              je ne suis pas plus avancé...
              comment modifier les warninges pour que tout soit bleu ?
              Qui a une idée ? Sinon, à quoi ça servirait se petit bidule...

              Commentaire


              • #8
                cet outil te donne la valeur des variables contenues dans php.ini, c est pour la configuration du serveur lui-même. il te suffit donc te faire une recherche du texte contenu dans la partie gauche est de remplacer les variables qui ne sont pas bleues par celles conseillées.
                Membre du fan club des Doux Rêveurs

                Commentaire


                • #9
                  ... et il est où ce fichier php.ini ?

                  Quand on regarde le résultat, ça quand même pas beaucoup de vert, un peu de rouge, et beaucoup d'orange... C'est grave ?
                  Aide-toi, et le ciel t'aideras !

                  Commentaire


                  • #10
                    Normalement tu n'y a pas accés, mais tu peux changer certaines variables dans un fichier htaccess par ex ...
                    http://securis.info
                    Joomla t'aide ? Alors Aide joomla! http://forum.joomla.fr/showthread.php?t=293
                    SOJ, outils de diagnostic et d'audit pour régler vos soucis Joomla! : http://www.joomlafrance.org/telechar..._Autonome.html

                    Commentaire


                    • #11
                      OK, merci. Je comprends pourquoi j'ai rien trouvé...
                      Et le contenu de ce fichier htaccess modifiant certaines varaibles, t'en as un exemple, stp ?
                      Aide-toi, et le ciel t'aideras !

                      Commentaire


                      • #12
                        Envoyé par papack Voir le message
                        ... et il est où ce fichier php.ini ?

                        Quand on regarde le résultat, ça quand même pas beaucoup de vert, un peu de rouge, et beaucoup d'orange... C'est grave ?
                        Les valeurs recommandées pour l'upload et la mémoire sont basses.
                        Pour plus de confort pour le client, les hébergeurs augmentent ces valeurs.
                        C'est donc Orange mais c'est mieux pour vous.
                        MWIP pour les intimes

                        M. W. I. Prod. (Documentations et téléchargements pour Joomla!)

                        Commentaire

                        Annonce

                        Réduire
                        1 sur 2 < >

                        C'est [Réglé] et on n'en parle plus ?

                        A quoi ça sert ?
                        La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                        Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                        Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                        Comment ajouter la mention [Réglé] à votre discussion ?
                        1 - Aller sur votre discussion et éditer votre premier message :


                        2 - Cliquer sur la liste déroulante Préfixe.

                        3 - Choisir le préfixe [Réglé].


                        4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                        2 sur 2 < >

                        Assistance au forum - Outil de publication d'infos de votre site

                        Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                        Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                        Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                        UTILISER À VOS PROPRES RISQUES :
                        L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                        Problèmes connus :
                        FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                        Installation :

                        1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                        Archive zip : https://github.com/AFUJ/FPA/zipball/master

                        2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                        3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                        4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                        5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                        6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                        et remplacer www. votresite .com par votre nom de domaine


                        Exemples:
                        Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                        Télécharger le script fpa-fr.php dans: /public_html/
                        Pour executer le script: http://www..com/fpa-fr.php

                        Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                        Télécharger le script fpa-fr.php dans: /public_html/cms/
                        Pour executer le script: http://www..com/cms/fpa-fr.php

                        En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                        Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                        Voir plus
                        Voir moins
                        Travaille ...
                        X