[Système] include de pseudo frame

**rougedragon** · 28/11/2006, 07h39

Bonjour,
Dans un post précédent on me dit de ne pas afficher mes pages avec le script suivant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include $page.php

(j'ai fais simple)

. La justification est qu'il ne faut pas mettre de variable avec un include.

Comment gérer les pseudo-frames autrement ???

Merci

**Halukard** · 28/11/2006, 09h36

il faut que tu concatene ton extension avec ta variable si $page contient juste accueil par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include $page.'.php'

comme ca tu "colle" accueil a .php ce qui lui permet de trouver ton fichier et de l'inclure correctement.

**Eusebius** · 28/11/2006, 14h44

Je pense que si on t'a dit ça, c'est pour éviter que tu fasses l'include d'un fichier non prévu pour ça (inclusion de code source arbitraire).
La variable $page vient d'un formulaire, ou d'une entrée utilisateur, enfin de l'extérieur de ton script, c'est ça ? Dans ce cas il faut vérifier qu'elle a bien une des valeurs attendue, et si ce n'est pas le cas tu renvoies une erreur. Mais ne fais jamais un include directement avec un nom de fichier qui vient d'on ne sait pas où.
[EDIT : c'est en gros ce que fait segfault en-dessous]

Désolé si jamais j'ai répondu à côté

**SegmentationFault** · 28/11/2006, 15h24

le fait d'ajouter .php à ta variable est déja pas mal, mais tu peux faire mieux genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
switch($page)
  	{
  		case "home":
			$page = 'home.html';
			break;
		case "toto":
			$page = 'titi.php';
			break;
		default:
			$page = 'home.html';
			break;
  	}

bein dans default, soit tu redirige vers une page precise soit tu affiche un truc genre "c'est raté, réessaye autre chose"

EDIT: un conseil de ma part, redirige plutot vers une page, car si tu lui affiches un message enervant et il se trouve que cette personne est douée, tu peux dire bye bye à ton site

**rougedragon** · 28/11/2006, 20h50

j'appelle mes pages bêtement par: <a ... tete.php?link=specialteam...

je pensais être couvert par ça en fait:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
<?php
 $filename = "./$link.include.php";
  if(file_exists($filename))
  {
   include($filename);
}
else
{
echo 'VOUS NE POUVEZ PAS AFFICHER CETTE PAGE';
}
?>

sachant que pour brouiller un peu , je peux mettre tarte à la place de inc.
Qu'en pensez vous ??
(ce que propose Halukard en fait- j'avais pas lu)

**sahid** · 28/11/2006, 21h00

Salut,

imagine je fais entrer dans ta variable $link

"http://monserveur/hack"
(sachant que j'ai un fichier qui se nomme hack.include.php)

on appelle cela des attaques XSS,

tu devrais faire attention avec ça ...
élabore toi un front-controller plus performant, c'est la dessus que repose ton appli.

**rougedragon** · 28/11/2006, 21h11

J'ai déjà eu cette réponse. Mais je peux très bien mettre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$page.cryptage md5.php

Je me dis que si le mec devine l'extension utilisée, j'ai d'autre soucis à me faire.

Je vais me renseigner plus sur les attaques XSS. ( je suis pointilleux dans la réponse cherchée mais pas borné).

**fallais** · 28/11/2006, 21h12

Un simple switch fait l'affaire question securité

Ou sinon la methode du fil_exist (la mienne

)
Voila

**Eusebius** · 28/11/2006, 21h24

Envoyé par Elwyn

Un simple switch fait l'affaire question securité

Ou sinon la methode du fil_exist (la mienne

)
Voila

Le switch est une NECESSITE (mise en place d'une liste blanche).
Le file_exists ne suffit pas. Imagine, je te fais ouvrir un fichier sur mon serveur, qui génère du php (genre du code sympa, avec des "exec" de "rm *" par exemple... Non, il ne faut pas se dire que la config de ton serveur va l'empêcher : il y a une infinité d'attaques possibles si on peut faire exécuter du code arbitraire), eh bien le file_exists, il va te dire "oui oui, le fichier existe bien", et puis tu vas l'inclure gentiment... et mon code, il va te vider le disque dur de ton ordinateur, si t'as pas fait gaffe...

sahid : Non c'est pas du XSS, c'est de l'injection de code.

rougedragon : le fait de supposer que l'attaquant ignore les extensions ou les modifs que l'on va faire sur le nom est une MAUVAISE METHODE. D'une manière générale il est dangereux de considérer que l'attaquant manque d'information ou est stupide.

**rougedragon** · 28/11/2006, 21h28

Merci pour vos réponses.

ça m'aide beaucoup.

A+

**sahid** · 29/11/2006, 11h59

Envoyé par rougedragon

J'ai déjà eu cette réponse. Mais je peux très bien mettre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$page.cryptage md5.php

Je me dis que si le mec devine l'extension utilisée, j'ai d'autre soucis à me faire.

Je vais me renseigner plus sur les attaques XSS. ( je suis pointilleux dans la réponse cherchée mais pas borné).

oui oui, m'enfin ...
$link = 'http://monsite/hack.php");'

Eusebius : de l'injection de code c'est de XSS...

ensuite le switch n'est pas une néccesité, tu peux tres bien utiliser les interfaces. ...basé toute ton application sur un switch c quand meme limité question evolution, et asser lourd.

**Eusebius** · 29/11/2006, 13h09

Envoyé par sahid

Eusebius : de l'injection de code c'est de XSS...

Non, mais passons.

Envoyé par sahid

ensuite le switch n'est pas une néccesité

C'est vrai. Je parlais du choix entre le switch et le file_exists. On peut faire sans switch si on a un autre mécanisme de type liste blanche.

**fallais** · 29/11/2006, 14h29

Envoyé par Eusebius

Le file_exists ne suffit pas. Imagine, je te fais ouvrir un fichier sur mon serveur, qui génère du php (genre du code sympa, avec des "exec" de "rm *" par exemple...

Faux !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
$page = $_GET['page'];
 
if(file_exists($page)){
include($page.'.php');
}
else{
echo'Erreur';
}

dis moi comment executer tes fichier exe et tout le reste stp

**Eusebius** · 29/11/2006, 14h31

Envoyé par Elwyn

dis moi comment executer tes fichier exe et tout le reste stp

Je me trompe peut-être, mais je vois pas en quoi ce que tu fais te protège contre un include distant.

**RideKick** · 29/11/2006, 14h35

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
$page ='Prefixe_'.$_GET['page'];
 
if(file_exists($page)){
include($page.'.php');
}
else{
$page = 'Accueil'
include($page.'.php');
}

un truc de ce genre aussi c est sympa ....

**fallais** · 29/11/2006, 14h51

Envoyé par Eusebius

Je me trompe peut-être, mais je vois pas en quoi ce que tu fais te protège contre un include distant.

Trouve moi un exemple d'include distant

**Eusebius** · 29/11/2006, 15h16

Envoyé par Elwyn

Trouve moi un exemple d'include distant

Si allow_url_fopen est activé, on peut en faire, des includes distants.

**fallais** · 30/11/2006, 19h22

Avec mon script tu ne pourras ouvrir que les pages presentes dans l'arborescence

Et je ne parle pas d'execution mais d'insertion

**Eusebius** · 30/11/2006, 22h21

Envoyé par Elwyn

Avec mon script tu ne pourras ouvrir que les pages presentes dans l'arborescence

Ah j'avais pas vu le préfixe. Oui, tu donnes le moyen de parcourir librement toute ton arborescence. Ca reste une faille.

Et c'est pas le file_exists qui augmente le niveau de sécurité, c'est le préfixe.

J'ai raison, donc j'ai raison