Discussion :

[moimp]

Bonjour,
Je réalise un formulaire BBcode pour la création de pages personnalisées.
Dans ce formulaire je prévois l'insertion d'images et de liens hypertextes. Je veux protéger le site contre l'insertion d'éléments malveillants.
Pour les images, je pense qu'un contrôle du type MIME peut être suffisant (me le dire si ce n'est pas le cas) mais je ne vois pas comment faire pour les liens.

[laurentSc]

Bonjour,

par curiosité, peux-tu préciser le but de ton application et pour le contrôle des images avec le type MIME, que comptes-tu faire (exclure les fichiers qui ne sont pas des images avec une extension connue) ?

[grunk]

Bonjour,

Pour les images, je pense qu'un contrôle du type MIME

Absolument pas, le type mime est falsifiable tant dans le protocole HTTP que dans le fichier en lui même.

Pour sécurier un envoi d'image :
- Placer les images dans un dossier hors de la racine web (pour qu'elle ne soit pas accessible publiquement via une url)
- A la réception vérifier :
- extension ,
- type mime (via fileinfo) . un exemple ici
- mais surtout si le fichier est une image valide avec par exemple getimagesize.
- Si tous les test précédents sont ok : renommer le fichier et l'enregistrer.

L'affichage des images devrait ensuite se faire via readfile() et non en appelant directement l'image

Concernant l'url il n'ya pas de risques particulier à ma connaissance. Il suffit de la traiter comme toute autres chaine de caractère évitant ainsi les injection sql et les XSS.
Tu peux éventuellement vérifier que ca a bien la forme d'une url avec protcole://adresse.domaine/uri et exclure les zone a risque de ton site (admin) pour éviter les faille CSRF

[laurentSc]

Bonjour,

si le fichier est une image valide avec par exemple getimagesize.

Grunk, dans le lien que tu viens de fournir pour getimagesize, j'ai lu

N'utilisez pas getimagesize() pour vérifier qu'un fichier donné est une image valide. Utilisez à la place une solution prévue pour cela telle que l'extension FileInfo.

Ca remet en question ce que tu as écrit...

[grunk]

C'est pour ca que tu remarqueras que la vérification avec getimagesize arrive après celle avec fileinfo.

L'idée étant de se dire que si un attaquant arrive à passer au travers de fileinfo on arrivera à le détecter avec getimagesize qui devrait retourner false ou au pire des données incohérente.

on peut aussi utiliser exif.imagetype voir encore mieux retraiter l'image avec GD en créant un thumbnail par exemple

[two3d]

Il existe la faille CSRF lors de l'autorisation des liens.

Pour les images, je fais seulement la vérification de l'extension, n'importe quel code pourra pas s’exécuter dans un fichier avec la mauvaise extension sauf si le serveur est mal configuré.

[grunk]

Pour les images, je fais seulement la vérification de l'extension, n'importe quel code pourra pas s’exécuter dans un fichier avec la mauvaise extension sauf si le serveur est mal configuré.

Je t'invite à lire ceci : https://owasp.org/www-community/vuln...ed_File_Upload et ceci : https://book.hacktricks.xyz/pentesting-web/file-upload
Pour te rendre compte que la vérification de l'extension est loin d'être suffisante.

[two3d]

Merci, je regarderais.

Si tu as les chapitres qui disent que de vérifier seulement l'extension est mauvais, je suis preneur !

Sachant que je renomme les fichiers qu'on m'envoie et que je vérifie l'extension finale : mon-image.jpg<- stop

Je viens de lire ton lien : https://book.hacktricks.xyz/pentesting-web/file-upload

Je cite, chapitre 6 :



Cela reprends ce que je disais plus haut. Si vous voyez d'autres possibilités, n'hésitez pas, je suis preneur car il s'agit de sécurité !

[moimp]

Bonjour,

Je vous remercie tous et grunk en particulier pour toutes ces explications. Maintenant je me pose la question lorsque je reçois une image base64, fournie par un éditeur WYSISWYG (CKEditor par exemple).