Discussion :

[pmithrandir]

Bonjour

En révérence à la discussion suivante, je pense que je me rapproche un peu de cette problématique.

J'ai une application qui me permet d'insérer des documents par upload.
Les utilisateurs peuvent ensuite accéder à ces documents en ligne.

Mon soucis est de limiter les choses faisables depuis le répertoire upload.
En particulier, je ne veux pas que les script soient exécutables.

Actuellement, si j'upload un script PHP, celui ci est interprété, ce qui introduit une faille monstrueuse dans le site et permet à n'importe qui de faire n'importe quoi.

J'ai entrevu des dizaines de solution pour filtrer les fichiers uploadé, mais cette solution ne me convient pas pour plusieurs raisons :
- Je ne vois pas pourquoi mes utilisateurs ne pourrait pas mettre en ligne un fichier PHP pour le partager entre eux.
- Je pense que quoi qu'il arrive, si le serveur a la possibilité d'exécuter du code dans un répertoire, on peut toujours faire en sorte de passer les sécurité.(j avais vu un exemple ou quelqu'un mettait simplement monfichier.php.jpg pour passer la moitié des tests.
- l'application a 5 ans, fais des millions de lignes et la modifier de partout, j ai pas envie...

Bref, est ce que la solution des virtual host est facile à mettre en place, et surtout, peut on interdire l'exécution de fichiers PHP directement dans le HTTPD.conf sans créer de virtual host(je ne suis pas sur que l'on ai accès a ce paramétrage chez l'hébergeur).

[_Mac_]

Tu as essayé en mettant un fichier .htaccess dans ton répertoire d'upload avec un truc de ce genre dedans :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

AddType text/plain .phtml .pwml .php3 .php4 .php .php2 .inc

Ca devrait dire à Apache de considérer que tous les fichiers .php, .php3, etc. de ce répertoire sont des fichiers textes tout simples et donc qu'il ne doit pas les interpréter.

[pmithrandir]

cette solution pourrait être déjà plus pratique que celle que me demande mon chef.

Après elle ne désactive pas PHP, elle ne fait que lui dire de ne pas exécuter le code.


En fouillant, j'ai vu que l'on pouvait insérer du code dans des images par exemples(JPG, GIF) ou dans des vidéos.
Si je ne désactive pas PHP complètement, je ne suis pas sur que si quelqu'un met du code PHP dans les images, il ne puisse pas exécuter du code malveillant.

Mais c'est vrai que ca résous le problèmes pour tous les ptis pirates du dimanche.

A voir si ca marche avec les fichiers du type : truc.php.jpg

[_Mac_]

En fait, j'ai du mal à voir comment un serveur pourrait vouloir interpréter un fichier toto.php.jpg vu qu'il ne se termine pas par .php Ce qu'il va se passer, je pense, dans le cas d'un toto.php.jpg, c'est que le serveur va renvoyer le fichier tel quel au navigateur avec le content type = image/jpeg. S'il y a interprétation, c'est par le navigateur, pas le serveur. Mais maintenant, si tu as un lien qq part ou un exemple ou d'une explication d'une telle interpétation d'un .php.jpg, je suis preneur.

[pmithrandir]

j'ai suivi ces deux liens pour comprendre(enfin essayer) quelques trucs sur l'upload et ses dangers.

http://devloop.lyua.org/blog/index.p...cripts-dupload

http://ha.ckers.org/blog/20070604/pa...h-getimagesize

Je n'ai pas réussi à mettre en pratique les fichiers images avec 2 extensions.

Après, c'est pas ma spécialité de sécuriser le tout, mais avant de chercher au niveau logiciel, j'essaye de voir si au niveau serveur je peux faire quelque chose de global.

[_Mac_]

Liens intéressants. De ce que j'ai compris, l'histoire du .php.jpg c'est pour contourner la vérification de l'extension du fichier (.jpg) ou du content type, mais ce n'est une faille de sécurité que dans la mesure où il y a un code PHP déjà en place sur le serveur qui fait un include du fichier télécharger. Car en effet, un include se moque totalement de l'extension du fichier et quelque soit son nom, le fichier sera interprété comme étant du PHP.