Discussion :

[clavier12AZQSWX]

bonjour,

Souvent j'ajoute un fichier test.php sur mes projets qui affiche le phpinfo . une fois en prod, je le renomme en .bak (donc test.php.bak).
En tapant l'url dans le nav, je me rends compte qu'il est exécuté !! pourquoi ? le .bak n'est pas une extension php ! et compte-tenu de ce que affiche phpinfo, c'est très dangereux que ce soit accessible.

comment désactiver la lecture/interprétation des fichiers .bak ?

[mathieu]

l'association d'une extension de fichiers avec php se configure au niveau du serveur http et pas dans php.

et au sujet de la dangerosité, je trouverai ça plus problématique si on voyait le code source qui contiendrai des codes d'accès à une base de données ou un jeton d'accès à une api.

[cavo789]

Bonjour

Je lis ton post et je me dis que tu pourrais accroître ta sécurité : si j'accède à secrets.php; tu pourrais forcer l'affichage d'un formulaire dit "htpasswd" (lire https://serverpilot.io/docs/how-to-p...a-single-file/)

C'est à dire : ton fichier test.php serait alors protégé; personne d'autre que toi; même s'il a l'URL ne pourra y accéder puisqu'il faudra, en plus, un couple login/password.

Je rejoins mathieu pour le souci d'extension; c'est la configuration de ton serveur qui semble avoir associée .php.bak à un script PHP ou, pire, ne gère que la première extension (.php) et pas sa globalité. A voir avec ton hébergeur je pense;

[clavier12AZQSWX]

bonjour,

j'ai ajouté ceci dans le htacess pour bloquer les accès aux fichiers .bak

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<FilesMatch "\.bak">
    Order allow,deny
    Deny from all
    Satisfy All
</FilesMatch>

Après plusieurs test, je me suis rendu compte que tous les fichiers dont le nom de fichier comporte ".php" sont interprétables par le serveur via le navigateur. Par exemple test.php.coco fonctionne !

Peut-être une négligence de config de l’hébergeur (ionos) ou de apache/php/vhost qui cherche les ".php*" au lieu de s'arrêter à ".php" ".php3" .

bonne fin de journée

[cavo789]

Bonjour

C'est interpellant... Qu'en pense ton hébergeur ?

[clavier12AZQSWX]

je vais lui demander de ce pas.

je l'ai renommé en test.php.gif et ça marche aussi ..hélas.

ça me rappelle cette très ancienne faille de sécurité (je sais plus si c'est le serveur ou la navigateur) qui permettait de placer du JS dans un fichier à extension graphique... sauf qu'ici c'est exécuté par le serveur! j'imagine déjà les dégâts du mec qui upload un avatar qui contient du code php...

[cavo789]

Il y a quelques années, il y avait une faille dit "de la double extension". Sur certains serveurs (mal configurés et/ou à l'état de mort clinique); il était possible d'avoir des fichiers tels que logo.gif.php. La double extension provoquait, selon le programme, soit l'affichage de "logo.gif" (oh, c'est une image, pas méchant hein, une image) mais en réalité, c'était bien un script php et donc, ici, un virus potentiel.

C'est là où la double extension est pernicieuse car comment va se comporter le programme qui va traiter le fichier ? Est-ce que le serveur web (Apache/Nginx) va l'exécuter ? Est-ce que le client FTP va afficher la double extension ? Est-ce que le gestionnaire des médias des CMS va afficher la double extension ? ...