[Goda]

Bonjour a tous !

Quelques petites question:
Si en scannant mon site avec (par exemple) Nikto j'obtient quelque chose comme : "Allowed HTTP Methods: GET, HEAD, POST, PUT, DELETEtext/html"
 Cela signifie-t-il que nimporte qui peut agir sur le contenu de mon serveur ?

J'ai cru comprendre que la méthode "put" sert a uploader un fichier, donc si je transmet la requète :
PUT http://monsite.fr/images /home/toto/desktop/monimage.jpg
L'image "monimage.jpg" sera uploadée dans "http://monsite.fr/images" ????????????

 J'ai voulu essayer avec Netcat mais il n'a pas l'air de connaitre "PUT" alors qu'il fonctionne avec "GET" (ou alors ma syntaxe est mauvaise...)

 Bref; cela constitue-t-il une "faille" (ou plustot grosse bourde de config) qui pourais permettre a un vilain pas beau de uploader un truc du genre r57.php et de foutre le bordel sur le serveur ?

[hisoka69]

Tu dois avoir un bouton "enlever" pour supprimer toi même comme un grand ton double post !

[_o_]

Si en scannant mon site avec (par exemple) Nikto j'obtient quelque chose comme : "Allowed HTTP Methods: GET, HEAD, POST, PUT, DELETEtext/html"
 Cela signifie-t-il que nimporte qui peut agir sur le contenu de mon serveur ?

Comment peut-on répondre ? Il n'y a guère que la documentation de l'outil en question qui pourrait répondre à ça : comment fait-il pour déterminer les méthodes acceptées par le serveur ? Et mauvaise nouvelle, j'ai survolé la documentation sans trouver le moindre paragraphe expliquant les résultats. Pas de bol. Reste à lire le code de l'outil.

Cela dit, un serveur web de base qui accepte des uploads par défaut, j'ai des gros doutes. Le message signifie probablement simplement que le serveur web gère les méthodes indiquées (ce qui est un minimum pour un serveur web me semble-t-il).

[Goda]

Merci de vous pencher sur la question.

Pour ce qui est du double post j'ai essayé de le supprimer bien entendu mais ça me dis :"Vous ne pouvez pas effacer vos propres fils de discussion dans ce forum.  " et pas moyen d'aller plus loin.

@ _0_ : Je crois pas que toutes les méthodes soit "allowed" sur un site bien configuré. J'ai testé en scannant d'autres sites et la pluspart il n'y a que "TRACE" qui soit "allowed"

[_o_]

J'ai testé en scannant d'autres sites

J'espère qu'ils sont à toi, les sites, j'apprécie moyennement de voir des scanners de vulnérabilité mettre mes machines sur les genoux.

et la pluspart il n'y a que "TRACE" qui soit "allowed"

Ah ? Et pas GET et POST ? Ça parait limité comme serveur web.

M'enfin, ça ne change pas la conclusion : les scanners de vulnérabilités, ça peut être bien pour gagner du temps, mais ça doit être complémentaire d'une bonne connaissance de l'outil  :
- pour savoir interpréter les résultats.
- pour éviter de déclencher une attaque qui mettrait le serveur cible en rideau (surtout quand c'est pas le sien).

[Bionik]

Trace reste activé ? les XST sont donc pas mortes ?