[Sécurité] Problème de sécurité avec l'upload

Gwipi · 14/04/2006, 07h26

Bonjour,

J'ai quelques soucis de sécurité avec mes scripts d'upload en PHP. J'aurais voulu avoir l'avis de quelques spécialistes.

J'ai 2 scripts d'upload :

- Script d'upload d'image
L'utilisateur peut poster une image, je fais donc plusieurs vérification :
1. Je vérifie l'extension du fichier
2. Je vérifie le type MIME
3. Je vérifie que l'image a bien une taille (hauteur et largeur)
Si tout est ok, j'upload l'image.

- Script d'upload de fichiers divers
L'utilisateur peut poster divers fichiers du type .pdf, .xls, .doc, .zip
Je ne fais qu'une vérification sur l'extension.

Pouvez vous me dire si ces vérifications sont suffisantes et si non comment un hacker peut contourner ces systèmes de vérifications ?

Je me doute que le danger vient surtout du script d'upload de fichiers divers mais je ne sais pas comment il pourrait hacker mon site.

Il y a aussi le problème des droits d'écriture dans les dossiers qui recoivent ces fichiers ? Comment doivent ils être configurés ?

Je me pose ces questions car j'ai souvent un utilisateur qui tente d'upload des fichiers bizarres, des images de taille 0x0 pixels.

Merci bcp pour votre aide

PS : Tout est en PHP mais ce n'est peut être pas le bon forum, veuillez m'excuser.

gorgonite · 14/04/2006, 10h17

déjà le répertoire où ils uploadent est-il "ouvert" à tous... ?

Gwipi · 14/04/2006, 10h54

Le répertoire est ouvert à tous les membres.

14/04/2006, 07h26	#1
Gwipi Nouveau Membre du Club Inscription : juillet 2002 Messages : 99 Détails du profil Informations forums : Inscription : juillet 2002 Messages : 99 Points : 28 Points : 28	[Sécurité] Problème de sécurité avec l'upload Bonjour, J'ai quelques soucis de sécurité avec mes scripts d'upload en PHP. J'aurais voulu avoir l'avis de quelques spécialistes. J'ai 2 scripts d'upload : - Script d'upload d'image L'utilisateur peut poster une image, je fais donc plusieurs vérification : 1. Je vérifie l'extension du fichier 2. Je vérifie le type MIME 3. Je vérifie que l'image a bien une taille (hauteur et largeur) Si tout est ok, j'upload l'image. - Script d'upload de fichiers divers L'utilisateur peut poster divers fichiers du type .pdf, .xls, .doc, .zip Je ne fais qu'une vérification sur l'extension. Pouvez vous me dire si ces vérifications sont suffisantes et si non comment un hacker peut contourner ces systèmes de vérifications ? Je me doute que le danger vient surtout du script d'upload de fichiers divers mais je ne sais pas comment il pourrait hacker mon site. Il y a aussi le problème des droits d'écriture dans les dossiers qui recoivent ces fichiers ? Comment doivent ils être configurés ? Je me pose ces questions car j'ai souvent un utilisateur qui tente d'upload des fichiers bizarres, des images de taille 0x0 pixels. Merci bcp pour votre aide PS : Tout est en PHP mais ce n'est peut être pas le bon forum, veuillez m'excuser.
	00

14/04/2006, 10h17	#2
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	déjà le répertoire où ils uploadent est-il "ouvert" à tous... ?
	00

14/04/2006, 10h54	#3
Gwipi Nouveau Membre du Club Inscription : juillet 2002 Messages : 99 Détails du profil Informations forums : Inscription : juillet 2002 Messages : 99 Points : 28 Points : 28	Le répertoire est ouvert à tous les membres.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email