[Sécurité] [Upload] Mails avec pièce jointe [Résolu]

George Abidbol · 24/06/2008, 17h21

Bonjour,

Je suis en train de réaliser une appli qui permet d'envoyer un mail avec pièces jointes.

Donc pour ça, je dois uploader les fichiers depuis le formulaire côté client et les copier sur mon serveur puis envoyer le mail (ça, c'est OK).

Ayant été sensibilisé à la sécurité de ce genre de formulaire d'upload dans ma tendre jeunesse naïve de développeur PHP, et cela à mes dépends (upload sans aucune vérification.... même pas sur l'extension du fichier....

=> upload backdoor on your server and lool kikou n00b, you've been hacked by r0X0r....)

Donc, maintenant, je fais quelques vérifications, notamment vérifier le type mime du fichier pour n'autoriser que certain types de fichier. Du coté autorisation sur les répertoires, tout est en place.

Ma question maintenant : est-il possible de changer le type mime d'un fichier?
Du genre Mr Trojan.ru arrive devant ma porte, sort sa carte d'identité de fichier pdf et passe tranquillou.

Edit : Précisions

Je suis sous Win2003 Server avec un Apache 2.2.8 PHP5.2.5
Pour mon upload de fichier j'utilise PEAR Package HTTP_Upload.

Pour solution j'ai :

Limiter les autorisations à LECTURE et ECRITURE pour mon repetoire temp/ qui contient les fichiers uploadés (eviter l'execution de programmes)
Limiter les fichiers autorisés en regardant le type mime ( d'où ma question ci-dessus)
Vérifier que l'extension du fichier uploadé n'est pas "php" auquel cas, le fichier ne pourra pas être exécute sur mon serveur en appelant le fichier par l'url.

Voyez vous des possibilités de contourner ces sécurités?

Sub0 · 24/06/2008, 21h40

Vérifie que l'extension du fichier ne CONTIENT pas ".php" car il existe aussi .php3 qui peut être exécuté.

Mais bon, en vérifiant le type mime, tu ne risques plus rien.
Vérifie le avant et surtout APRES l'upload.

George Abidbol · 27/06/2008, 09h02

Oui c'est vrai, ca sera plus sur.

Je met à résolu, je pense qu'il y a assez de vérifications pour une bonne sécurité.

Merci !

24/06/2008, 17h21	#1
George Abidbol Nouveau Membre du Club Inscription : juin 2006 Messages : 45 Détails du profil Informations personnelles : Localisation : France, Seine Maritime (Haute Normandie) Informations forums : Inscription : juin 2006 Messages : 45 Points : 36 Points : 36	[Sécurité] [Upload] Mails avec pièce jointe Bonjour, Je suis en train de réaliser une appli qui permet d'envoyer un mail avec pièces jointes. Donc pour ça, je dois uploader les fichiers depuis le formulaire côté client et les copier sur mon serveur puis envoyer le mail (ça, c'est OK). Ayant été sensibilisé à la sécurité de ce genre de formulaire d'upload dans ma tendre jeunesse naïve de développeur PHP, et cela à mes dépends (upload sans aucune vérification.... même pas sur l'extension du fichier.... => upload backdoor on your server and lool kikou n00b, you've been hacked by r0X0r....) Donc, maintenant, je fais quelques vérifications, notamment vérifier le type mime du fichier pour n'autoriser que certain types de fichier. Du coté autorisation sur les répertoires, tout est en place. Ma question maintenant : est-il possible de changer le type mime d'un fichier? Du genre Mr Trojan.ru arrive devant ma porte, sort sa carte d'identité de fichier pdf et passe tranquillou. Edit : Précisions Je suis sous Win2003 Server avec un Apache 2.2.8 PHP5.2.5 Pour mon upload de fichier j'utilise PEAR Package HTTP_Upload. Pour solution j'ai : Limiter les autorisations à LECTURE et ECRITURE pour mon repetoire temp/ qui contient les fichiers uploadés (eviter l'execution de programmes) Limiter les fichiers autorisés en regardant le type mime ( d'où ma question ci-dessus) Vérifier que l'extension du fichier uploadé n'est pas "php" auquel cas, le fichier ne pourra pas être exécute sur mon serveur en appelant le fichier par l'url. Voyez vous des possibilités de contourner ces sécurités?
	00

24/06/2008, 21h40	#2
Sub0 Expert Confirmé Inscription : décembre 2002 Messages : 3 468 Détails du profil Informations personnelles : Sexe : Âge : 39 Informations forums : Inscription : décembre 2002 Messages : 3 468 Points : 3 115 Points : 3 115	Vérifie que l'extension du fichier ne CONTIENT pas ".php" car il existe aussi .php3 qui peut être exécuté. Mais bon, en vérifiant le type mime, tu ne risques plus rien. Vérifie le avant et surtout APRES l'upload.
	00

27/06/2008, 09h02	#3
George Abidbol Nouveau Membre du Club Inscription : juin 2006 Messages : 45 Détails du profil Informations personnelles : Localisation : France, Seine Maritime (Haute Normandie) Informations forums : Inscription : juin 2006 Messages : 45 Points : 36 Points : 36	Oui c'est vrai, ca sera plus sur. Je met à résolu, je pense qu'il y a assez de vérifications pour une bonne sécurité. Merci !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email