IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

C Discussion :

[Cgi] Sécurité du Programme c


Sujet :

C

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre confirmé
    Inscrit en
    Mai 2003
    Messages
    99
    Détails du profil
    Informations forums :
    Inscription : Mai 2003
    Messages : 99
    Par défaut [Cgi] Sécurité du Programme c
    Bonjour,


    j ai réalisé un script CGI en C. Comment tester la sécurité du script?

    merci

  2. #2
    Membre Expert
    Avatar de Gruik
    Profil pro
    Développeur Web
    Inscrit en
    Juillet 2003
    Messages
    1 566
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juillet 2003
    Messages : 1 566
    Par défaut
    Salut

    Pour les CGI C, on dit pas "script" mais "programme".

    Apres, pour ton programme, ça depend ce qu'il fait

  3. #3
    Membre confirmé
    Inscrit en
    Mai 2003
    Messages
    99
    Détails du profil
    Informations forums :
    Inscription : Mai 2003
    Messages : 99
    Par défaut
    le programme crée un image et l affiche.

    je récupère donc des variables envoyé par post les traites puis je genere une image.

    C est sur la recuperation des données que j aimerais tester la sécurité.

  4. #4
    Expert éminent
    Avatar de Emmanuel Delahaye
    Profil pro
    Retraité
    Inscrit en
    Décembre 2003
    Messages
    14 512
    Détails du profil
    Informations personnelles :
    Âge : 68
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Décembre 2003
    Messages : 14 512
    Par défaut
    Citation Envoyé par ankou82
    le programme crée un image et l affiche.

    je récupère donc des variables envoyé par post les traites puis je genere une image.

    C est sur la recuperation des données que j aimerais tester la sécurité.
    Il faut tester les entrées dans les conditions extrèmes, et vérifier que jamais un seul tableau de char ne déborde, par exemple...

    Personellement, je pose un piège comme ceci :

    Quand un tableau de N char est créé, je met un 0 en [N-1].
    Après chaque écriture, je vérifie la présence du 0 et j'arrête l'exécution si il n'y est plus. Ce n'est pas du 100%, mais ça fait le ménage...

    http://emmanuel-delahaye.developpez.com/clib.htm
    Module SYS (sys.h)
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
     
    /* controles */
    #define LIM_STR(s) (s)[sizeof (s) - 1]=0
    #define CHK_STR(s) ASSERT((s)[sizeof (s) - 1]==0)
     
    #ifndef NDEBUG
    #define LIM_PTR(p,l) (p)[(l) -1]=0
    #else
    #define LIM_PTR(p,l)
    #endif
    #define CHK_PTR(p,l) ASSERT((p)[(l) -1]==0)
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
     
       char s[128];
       LIM_STR(s);
    ...
       sprintf (s, ...);
       CHK_STR(s);
    ou
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
     
       size_t n = 128;
       char s = malloc (n);
       LIM_PTR (s, n);
    ...
       sprintf (s, ...);
       CHK_PTR (s, n);

  5. #5
    Membre confirmé
    Inscrit en
    Mai 2003
    Messages
    99
    Détails du profil
    Informations forums :
    Inscription : Mai 2003
    Messages : 99
    Par défaut
    Oui, mais moi en faite ma page php genere un formulaire, et celon le formulaire lorsque je fais mon submit le programme CGI est lancé et récupaire les informations du formulaire.

    je recupere donc la chaine envoyé par cgi, et je l'a traite.

  6. #6
    Membre Expert
    Avatar de Gruik
    Profil pro
    Développeur Web
    Inscrit en
    Juillet 2003
    Messages
    1 566
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juillet 2003
    Messages : 1 566
    Par défaut
    Je dirais que seul celui qui a fait le programme peut le tester et savoir ce qui peut être vulnerable
    Si tu n'executes pas de programme externes, que tu n'accedes pas aux fichiers, que tu ne te connecte pas à une base, alors il n'y a peut être pas de faille, juste des plantages possible

  7. #7
    Membre confirmé
    Inscrit en
    Mai 2003
    Messages
    99
    Détails du profil
    Informations forums :
    Inscription : Mai 2003
    Messages : 99
    Par défaut
    Citation Envoyé par Gruik
    Je dirais que seul celui qui a fait le programme peut le tester et savoir ce qui peut être vulnerable
    Si tu n'executes pas de programme externes, que tu n'accedes pas aux fichiers, que tu ne te connecte pas à une base, alors il n'y a peut être pas de faille, juste des plantages possible

    oui je ne me connecte absolument a rien je genere seulement une image rien de plus.

  8. #8
    Expert éminent
    Avatar de Emmanuel Delahaye
    Profil pro
    Retraité
    Inscrit en
    Décembre 2003
    Messages
    14 512
    Détails du profil
    Informations personnelles :
    Âge : 68
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Décembre 2003
    Messages : 14 512
    Par défaut
    Citation Envoyé par Gruik
    Je dirais que seul celui qui a fait le programme peut le tester
    Grave erreur. Ca va à l'encontre de tous les principes de codage sécuritaire. On doit travailler en binôme. Un qui code, un qui teste. Et penser à inverser les rôles régulièrement.

  9. #9
    Membre Expert
    Avatar de Gruik
    Profil pro
    Développeur Web
    Inscrit en
    Juillet 2003
    Messages
    1 566
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juillet 2003
    Messages : 1 566
    Par défaut
    Oui c'est vrai
    Mais, je crois pas que ça soit applicable en pratique
    A moins que le testeur passe beaucoup de temps à analyser le fonctionnement du truc. En gros, le testeur doit relire le code écrit et le comprendre pour tester les cas problématiques.
    Sinon, le testeur ne teste que les cas nominaux et ça sert pas à grand chose car la programmeur aurait au moins vérifié que ça marchait

Discussions similaires

  1. [Android] Besoin d' aide - Sécurité en programmation android
    Par Ado_88 dans le forum Mon application mobile
    Réponses: 0
    Dernier message: 16/09/2014, 10h27
  2. CGI Perl + execution programme
    Par UonaN dans le forum Web
    Réponses: 3
    Dernier message: 28/11/2007, 13h28
  3. Sécurité sur programme Shell
    Par coincoin22 dans le forum Linux
    Réponses: 9
    Dernier message: 30/08/2007, 19h07
  4. Lancer un programme depuis un CGI
    Par cyberteuf dans le forum Web
    Réponses: 0
    Dernier message: 08/08/2007, 17h44

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo