Blog des Bois
Promenons nous dans les …

Vous en avez ras les bérouettes de cmd.exe !
En effet soullant de ne pas avoir le plein ecran, pas d’historique, un truc tout moche, pas d’onglet ..
Vous êtes accro du « tab tab » pour retrouver vos commandes favorites ?
Vous voullez des pwd, rm, cp, chmod et autres commandes chers à vos coeurs ?

Vous êtes sur XP ?

Alors installez Linux !!!!!!!!!!!!! ( Désolé j’ai pas put m’empécher )

Non sérieusement viendez ma bande on vas se balader ensemble…

1 ére étape : installer GNU bash pour Windows :

Rendez vous ici http://www.steve.org.uk/Software/bash/bash-203.zip pour le téléchargment.
Source : http://www.steve.org.uk/Software/bash/

Faites un extract de bash-203.zip dans C:\Program Files\
Vous obtiendrez C:\Program Files\bash-2.03\ contentant les executables

(Vous pouvez l’extraire ou que vous voullez je vous en voudrez pas)

Maintenant il vous faut créer un dossier tmp à la racine de votre disque dur.
Et oui c’est comme ça pas le choix !

Ensuite créer vous un dossier home (ou utilisez celui que vous voulez)
Moi j’ai créer un dossier C:\home

Maintenant il va falloir créer une variable d’environement HOME sur votre PC.
Pour cela -> Clique droit poste de travail -> Propriétés -> Avancés -> Variables d’environement

Dans variable systéme faite Nouveau :
Nom de la variable : HOME
PATHValeur de la variable : C:\home
Cliquez sur OK

Ensuite chercher une variable systéme qui s’appelle Path et cliquez sur modifier
A la fin de la valeur ajouter : ;C:\Program Files\bash-2.03\
Cliquez sur OK

Voila maintenant si vous executer bash.exe vous verrez que vous avez le « tab tab », l’historique et les commandes :
ls,rm,cp,mv,chmod …

Et la vous me dites : « Bah c’est cool tout ça mais c’est toujours bien moche ! »

Ok on passe à la seconde étape ;

2ème étape : installer Console 2

Rendez vous ici : http://sourceforge.net/projects/console

Télécharger la derniére version (Béta 2), dézipez le tout dans C:\Program Files\
J’ai testé plusieur béta, en voici une stable : Console2 Stable
Lancez console.exe

Allez dans le menu Edit -> Settings .. Et mettez bash comme valeur de Shell. Trés important sinon l’étape 1 ne sert à rien.

En option vous pouvez mette un repertoire par defaut dans Startup dir

Comme ce-ci :

Validez le tout, quitez et relancez console.

Voila enjoy votre belle console qui va bien !

Découvrez vous mêmes les options graphique et pratique de Console2

Les plus motivés (ou fous) d’entre vous iront même jusqu’a télécharger vim pour PC et découvriront les joies d’un éditeur de text gérant code complétion et colorations synthaxique sous la console !

PS : Pour ceux qui ne veullent que un cmd.exe plus jolie, il suffit d’installer console et de passer la 1ère étape mais quel domage …

Suite à la lecture d’un article sur Developpez.com j’ai décidé de vous écrire un petit article sur une faille XSS en PHP.

Tout bon développeur web se doit de connaître la régle « Never trust foreign data » (Ne jamais faire confiance aux données étrangères) . Nous connaissons tous très bien les problèmes que peuvent causer des injections de code malicieux par POST ou GET, mais cette fois ci, c’est une injection par la variable $_SERVER['PHP_SELF'] que je vais vous présenter.

Pour rappel :

‘PHP_SELF‘

Le nom du fichier du script en cours d’exécution, par rapport à la racine web. Par exemple, $_SERVER['PHP_SELF'] dans le script situé à l’adresse http://www.monsite.com/test.php/foo.bar sera /test.php/foo.bar. La constante __FILE__ contient le chemin complet ainsi que le nom du fichier (i.e. inclut) courant. Si PHP fonctionne en ligne de commande, cette variable contient le nom du script depuis PHP 4.3.0. Dans les versions antérieures, cette variable n’était pas disponible.

Comme la doc PHP nous le montre bien, $_SERVER['PHP_SELF'] contient tout ce qu’il y a entre les premier slash suivant le domaine et le point d’interrgation qui nous permet de passer des variables dans l’url. L’utilisateur a donc la possibilité d’agir sur cette variable par le biais de l’URL qu’il saisira dans son navigateur : il ne faut donc plus avoir une confiance aveugle en cette variable.

C’est en partant de cette remarque qu’il a été découvert une possible injection de code malicieux. Voyons tout de suite un exemple : construisons un simple formulaire HTML :

'.print_r($_POST, true).'

En appelant cette page par une URL classique (http://127.0.0.1/index.php par exemple) et sans aucune mauvaise intention , tout se passe correctement : le formulaire s’affiche et lorsqu’on le soumet on a l’affichage du tableau $_POST; mais une personne mal intentionnée pourrait facilement injecté un code javascript en utilisant une URL du type :

http://127.0.0.1/failleSelf/index.php/%22%3E%3Cscript%3Ealert(‘Injection’)%3C/script%3E%3Cdata%22

Qui donne une fois décodée : http://127.0.0.1/index.php/ »><script>alert(‘Injection’)</script><data »

En appelant la page de cette manière vous réalisez une injection de code Javascript qui se traduira par l’affichage d’une joli boîte de dialogue. Bien sûre ce type d’injection peut conduire à des dommages bien plus importants.

Pour plus de détails sur cette faille, je vous renvoie vers l’article original sur Developpez.com.

Pendant que nous sommes dans les failles, j’en profite pour vous donner un lien vers un site qui peut être très utile : Milw0rm : ce site répertorie différentes failles trouvées sur plusieurs types d’applications; vous remarquerez d’ailleurs très facilement le message sur la page d’accueil indiquant que nous sommes dans le mois du PHP

Je suis depuis quelques temps le blog d’Hisaux AKA Xia qui poste régulièrement des commentaires sur le BDB. Il viens d’ecrire un article concernant l’arrestation des sans papiers se rendant à la préfecture que je vous invite grandement à aller lire.

Une fois n’est pas coutume c’est un lien vers une vidéo que je vous propose, j’annonce tout de suite ça peu faire mal !!! La vidéo traite d’une maladie resultant d’un certain mal de vivre, bref ce n’est pas tant cette maladie que je tiens à mettre en avant mais l’idée de la vidéo et la réalisation qui sont pour le moins parfaite….

Campagne choc contre….