[Tableaux] Petit Soucis d'URL

**sanosuke85** · 31/05/2006, 10h34

Bonjour,

Je viens à vous tous car j'ai un petit soucis. On est venu me voir en mail pour me dire que mon site avait une faille

Ce qui est sympathique de la part de la personne qui me l'a fait remarquer ^^

Voici l'adresse :

Le site en question

Je vous fais un copier coller du message :

il me semble que tu as une faille include en local Voila

http://ombre.et.lumiere.free.fr/index.php?page=../index
Le mieux c'est de mettre en dur tes conditions, if($page==index)
include(Index.. elseif($page==) .... else { include page defo

}

Si vous pouviez m'aider à comprendre pourquoi cette faille existe s'il vous plaît... Car avec son lien la page boucle sur elle-même à n'en plus finir ^^ Heureusement que c'est chez free sinon le stress pour la bande passante

**supermanu** · 31/05/2006, 10h43

Je pense que ce qu'il a voulu dire c'est que passer le nom et le chemin de ta page à afficher n'est pas sécurisé. En effet je dois pouvoir inclure une de mes pages à la place de la tienne et y mettre le code que je veux. Par exemple une requête SQL pour détruire toute tes tables.
Donc le mieux c'est de passer une variable dans le lien.
De faire le test sur cette variable et d'inclure la bonne page.

**bkill** · 31/05/2006, 10h46

Salut,

le problème réside dans le fait que tu ne contrôles pas assez ce que le user peut passer en paramètre via la variable $page.

Avec l'exemple que la personne t'as donné, il te montre qu'on peut réinclure le fichier index.php dans lui-même.
En fait, on peut passer n'importe quel nom de fichier en paramètre, et remonter ou descendre dans l'arborescence des répertoires.
Une limite existe déjà, à savoir que tu as rajouté automatiquement le '.php' à la fin, donc c'est déjà ca de pris.

La solution pour éviter ce genre de problèmes est de bien contrôler que ce que le user passe via le param page est autorisé, et peut l'amener quelque part.
Du style:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
switch($_GET['page']) {
  case 'actu': include 'pages/actus.php'; break
  case 'test': include 'pages/test.php'; break
  default: include 'pages/erreur.php'; break
}

Voila l'idée.

**gorgonite** · 31/05/2006, 10h47

tu as du faire un truc du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include($_GET['page'].".php");

tu devrais plutôt gérer une table associative du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$index["index"] = "index.php";
$page = ($index[$_GET['page']] != "") ? $index[$_GET['page']] : $index['accueil'];
include($page);

enfin, on peut raffiner

**sanosuke85** · 15/06/2006, 10h21

Bonjour à tous,

je reviens pour ma question (pardon de ne pas avoir répondu avant). Je comprends mieux le soucis de sécurité et je vous en remercie. Cependant du coup faire ainsi on perd le système dynamique d'inclusion des fichiers. Mais bon si c'est pour une bonne sécurité vaut mieux

Donc le but est d'indiquer toutes les inclusions qui peuvent être faites afin d'éviter qu'une autre, non autorisée, soit effectuée ?

**gorgonite** · 15/06/2006, 17h58

Envoyé par sanosuke85

Bonjour à tous,

je reviens pour ma question (pardon de ne pas avoir répondu avant). Je comprends mieux le soucis de sécurité et je vous en remercie. Cependant du coup faire ainsi on perd le système dynamique d'inclusion des fichiers. Mais bon si c'est pour une bonne sécurité vaut mieux

Donc le but est d'indiquer toutes les inclusions qui peuvent être faites afin d'éviter qu'une autre, non autorisée, soit effectuée ?

sinon tu considères que toutes les pages pouvant être incluses sont dans un répertoire donné... et avec une expression regulière tu retires les ".." et les "http://" ou "ftp://"

en plus, vu que tu as rajouté include("monrepertoire/".$page.".php") tu es sûr qu'il ne va pas inclure la page dans elle même... infiniement

et le tour est joué...

**stunti** · 15/06/2006, 18h04

tu peux verifier si le fichier existe avant de l'inclure.
comme ca pas de pb. (verifie quand meme qu'il se trouve dans ton arbo de source PHP et que tu n'inclue pas /etc/passwd)

Invité · 15/06/2006, 18h05

sans oublier a tout ça le fameux isset

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if(isset($_GET["page"])){...}

**gorgonite** · 16/06/2006, 10h38

Envoyé par stunti

tu peux verifier si le fichier existe avant de l'inclure.
comme ca pas de pb. (verifie quand meme qu'il se trouve dans ton arbo de source PHP et que tu n'inclue pas /etc/passwd)

pas seulement.... sinon on peut inclure la même page dans cette page, et ça tournera en boucle

**stunti** · 16/06/2006, 10h45

Envoyé par gorgonite

pas seulement.... sinon on peut inclure la même page dans cette page, et ça tournera en boucle

include_once require_once.

**gorgonite** · 16/06/2006, 10h48

Envoyé par stunti

include_once require_once.

mais tu peux toujours inclure une fois la page dans elle-même...

**stunti** · 16/06/2006, 10h49

effectivement.

un petit test a rajouter en plus.

**sanosuke85** · 19/06/2006, 10h43

Je vous remercie pour toutes vos réponses

En fait, j'aurais une question d'ordre général : y'a-t-il un topic, ou un tutorial, sur toutes les bases de sécurités à connaître sur notre site (php, mysql etc) ? Les sécurités élémentaires en gros... Si vous en connaissez un, je serai ravi de le connaître

Pardon d'abuser de questions...

Invité · 19/06/2006, 10h47

voila un long topic http://www.developpez.net/forums/showthread.php?t=12254

(facilement trouvable dans la section securité vu que c'est le premier tout en haut)

**sanosuke85** · 19/06/2006, 10h59

* tout honteux

*

Merci et sincèrement désolé ......... Oui j'avoue j'ai posé la question là rapidement en lisant les réponses qui m'ont été données... J'ai pas cherché pardon pardon !!!

(ps : tiens au cas où les admin liraient, pour ma part je trouvais la présentation du forum avant beaucoup moins "fouillli" là j'arrive plus à m'y retrouver ^^ question d'habitude je pense mais j'ai vraiment du mal

)

Merci rbaatouc en tout cas

Invité · 19/06/2006, 11h27

je ne suis pas admin mais peronnellement je la trouve bcp plus clair maintenant.
tu as de sections appropriées a chaque pb, c'est mieux car tu ty retrouve bcp plus vite au lieu de chercher parmis des milliers de messages.
je pense que c'est juste une question dhabitude à prendre