PHPfrance

la communauté d'entraide francophone dédiée au PHP

Envoi d'images et sécurité

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : Envoi d'images et sécurité

par AB » 23 févr. 2008, 16:44

Et ce n'est pas une faille grave le fait que les .jpg puissent être exécutés, mais elle peut le devenir si on ne fait pas attention.
C'est effectivement ce que je voulais dire :wink:

par cicom » 23 févr. 2008, 14:49

Re,
Sans parler de faire un site pour la DGSE ou tout autre organisme de renseignements je voulais juste que le site de mon client ne soit pas une passoire...
Merci à tous!

par Sékiltoyai » 23 févr. 2008, 12:35

Les serveurs sous free sont surs, ce sont les sites qui y sont hébergés qui ne le sont pas. Et ce n'est pas une faille grave le fait que les .jpg puissent être exécutés, mais c'est elle peut le devenir si on ne fait pas attention.

par cicom » 23 févr. 2008, 12:34

Salut,
Effectivement radicalement efficace...
Je pense qu'on est bons niveau sécurité maintenant.
Merci à tous de votre aide!
Je mets résolu.

par AB » 23 févr. 2008, 05:05

Oui mais d'un autre coté, faire bosser le serveur pour simplement afficher des images... J'utilise plutôt cette technique pour afficher des images avec accès restreint.
Les risques sont quand même très limités. Sinon n'importe quel quidam pourrait pirater les serveurs Free, ce qui n'est pas le cas.

par Sékiltoyai » 23 févr. 2008, 04:00

Ouais, je viens de comprendre. Free a compilé PHP4 en tant que CGI, ce qui supprime une partie conséquente des sécurités au niveau du serveur, notamment, la compilation en CGI empèche l'utilisation des directives AddHandler limitant les fichiers exécutés par php. Donc il est vrai que si on utilise son script sur des serveurs mals administrés, on risque des problèmes de ce genre.

Comme mesure de sécurité, je conseillerais quelquechose de plus radical, c'est de mettre un .htaccess avec un Deny From All dans les dossiers des images et faire un script php appelé en lieu et place de l'image qui renverra le contenu du fichier. On évite ainsi tout accès direct et on a une mesure de sécurité très sure…

par h0_noMan » 23 févr. 2008, 03:31

Hé bien si tu veux faire le test, tu prends une image valide test.jpg et un script php test.php.jpg : 
<?php
header('Location: ./test.jpg');
?>
Si tu n'as pas une image valide, c'est que le code ne s'exécute pas…
Je viens de tester sur FREE (oui je sais cela n'est pas un hebergeur mais je n'ait pas de serveur a disposition) et cela fonctionne.

IMAGE.PHP.JPG contient :
<?php
phpinfo() ;
?>
Après, il suffit d'avoir une image valide pour getimagesize() contenant du code PHP (ce qui n'est pas compliqué)

par Sékiltoyai » 23 févr. 2008, 03:07

Hé bien si tu veux faire le test, tu prends une image valide test.jpg et un script php test.php.jpg : 
<?php
header('Location: ./test.jpg');
?>
Si tu n'as pas une image valide, c'est que le code ne s'exécute pas…

par h0_noMan » 23 févr. 2008, 01:59

Je peux pas te dire quels etaient mes methodes de test, mais j'ai trouver des script d'upload d'images sur different serveur (Pages perso ou hebergement mutualisé) et la plupart du temps IMAGE.PHP.JPG contenant une image valide avec du code PHP dedans etait executé.

par Sékiltoyai » 23 févr. 2008, 00:44

J'ai tester sur differentes platformes et cela a fonctionner plusieurs fois.
Ce n'est pas un problème de plateforme, c'est un problème de configuration. Si la configuration dit qu'il faut exécuter les php, elle ne dit pas d'exécuter les .jpg

Donne le processus de test que tu as utilisé, car normalement tu ne peux pas avoir ce résultat…

par cicom » 23 févr. 2008, 00:19

Un débat? Mettons que ca marche que faut il que je fasse pour m'en protéger?
Merci à tous!

par h0_noMan » 23 févr. 2008, 00:02

Car une image image.php.jpg est execute.
Non.
J'ai tester sur differentes platformes et cela a fonctionner plusieurs fois.

par Sékiltoyai » 22 févr. 2008, 23:55

Car une image image.php.jpg est execute.
Non.

par cicom » 22 févr. 2008, 23:51

Re,
Effectivement le preg_match ne cpate rien de rien, pourquoi? comment?
Merci de ton aide!

par h0_noMan » 22 févr. 2008, 23:20

Je ne pense pas que ton preg_match fonctionne comme ceci.