Quel risque et problème de sécurité avec ce script ?

Version imprimable

30/08/2013, 11h44
Mut

Quel risque et problème de sécurité avec ce script ?
Bonjour,

J'ai intégré ce bout de code sur un site mais visiblement il présente des failles de sécurité....

Quelqu'un pourrait-il m'en dire plus svp ? (risques encourus, quel faille, etc...)

Merci

page download.php
Code:

1 2 3 4 5 6 7 <?php header("Content-type: application/pdf"); header("Content-Disposition: attachment; filename=$_GET[pdf]"); readfile($_GET['pdf']); ?>
Page HTML :
Code:

1 2 3 4 5 6 7 <html> <head> </head> <body> <a href="download.php?pdf=test.pdf">télécharger test.pdf</a> </body> </html>
Merci
30/08/2013, 12h06
sabotage

imagine par exemple que tu as un fichier .htpassword protégeant un repertoire.
j'appelle la page http://tonsite/download.php?pdf=../r...re/.htpassword
et hop je l'ai.

imagine par exemple que tu as un script faisant une connexion à la base de données
j'appelle la page http://tonsite/download.php?pdf=page.php
et hop j'ai les identifiants de connexion.

Il faut donc nettoyer et valider le nom du fichier demandé.

Ah ouai....effectivement ça craint...

Merci pour ces explications.... Donc si je modifie le code comme ça :
Code:

1 2 3 4 5 6 7 8 9 10 11 if ($_GET['pdf']=="test.pdf") { header("Content-type: application/pdf"); header("Content-Disposition: attachment; filename=$_GET[pdf]"); readfile($_GET['pdf']); } else { echo "non autorisé"; }
C'est mieux ?

30/08/2013, 12h44
themadmax

Pourquoi faire appel à GET alors que la valeur sera toujours la même?
30/08/2013, 13h22
Mut

Ajourd'hui elle est toujours la même mais cela évoluera. Je cherche donc un système fiable que j'adapterais par la suite
30/08/2013, 17h36
Tsilefy

- Fais une liste blanche composée des noms de fichiers autorisés
- limite la lecture à certains répertoires seulement
- limite l'accès au script à des utilisateurs connus uniquement.

Bonjour,
il faut éviter de trimballer $GET dans tout le code :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 <?php $fileGET = trim($_GET['pdf']); // GESTION/VERIFICATION du fichier $fileValid = false; // Fichier dans une liste pré-définie $fileAllowed = array ("test.pdf","test1.pdf","test2.pdf"); if (in_array($GETfile, $fileAllowed)) { $fileValid = true; } // Fichier OK ? if($fileValid){ $fileOK = $GETfile; header("Content-type: application/pdf"); header("Content-Disposition: attachment; filename=$fileOK"); readfile($fileOK); } else { // PAS OK echo "non autorisé"; }
En l’occurrence, tu veux que le fichier soit exclusivement un fichier pdf.
=> tester l'Extension
=> tester le Type Mime

Tu peux t'inspirer de ceci : Traitement Fichier : news_traiter_file.php