Discussion :

[thepooh]

Bonjour a tous,

comme l'indique le nom de mon post, je cherche à créer un module d'upload sur mon site et j'aimerais que ceci se fasse de façon sécurisée. J'ai fouillé un peu sur internet et l'upload d'image peu engendré énormément de faille de sécurité. Pour l'instant, voici les techniques que j'utilise pour sécurisé cela :
- Je filtre le nom de l'image (htmlentities) et verifie que l'extension est bien jpg, bmp, png ou jpeg.
- Je vérifie la taille max de l'image et le poid max de l'image
- je vérifie l'entête ($_file['fichier']['type'])
- je renomme avec un nom aléatoire MAIS avec la même extension
- Je stock le nom aléatoire dans une base de donnée
- Je télécharge l'image dans un répertoire qui est en dehors de la racine
- lorsque quelqu'un désire voir l'image, la page download.php va effectuer un readfile de l'image et modifier les en-tête de la page html pour forcer le téléchargement.

Normalement, les précautions permettent de ne pas interpréter l'image quelconques comme du php mais seulement, j'aimerais savoir s'il est dangereux de renommer l'image avec la même extension que le fichier ? une image reconnue comme valide (avec une longueur et une largeur) peut-elle contenir un virus ou un backdoor ou quelques chose d'autre (je ne suis pas spécialiste dans toute les technique de hack utilisé...) ?
merci de vos réponses.

[Invité]

Mes connaissance sont peut etre limitée, mais, un serveur web réagit en fonction de l'extension , or si il voit du .jg ou autre, il ne fait que prendre le contenu et le renvoyer, donc a priori pas d'embètement.

Pour en etre sur, va voir le code source de cms genre joomla ou phpbb.

[Sub0]

Tu peux tester le type MIME d'un fichier, en particulier savoir si il s'agit bien d'une image et peu importe l'extension :

Ainsi, il suffira de tester si le nom de fichier ne comporte pas de ".php" (avec strpos par exemple) et de tester le type du fichier pour s'assurer qu'il s'agit bien d'une image.

[thepooh]

Bonjour,
tout d'abord, je tien à vous remercier pour vos réponses.
En fait, pour ce qui est du type MIME de l'image, j'effectue déjà des tests mais je pense que cela est facilement contournable pour un hacker ; il lui suffit de changer l'en-tête content type manuellement lors de l'envoi de l'image (je ne suis pas sur de moi mais je pense bien avoir lut cela quelques part lol). En fait, ce que je voudrais savoir, c'est s'il est possible qu'un virus soit contenu dans une image bmp par exemple et que le fichier représente une menace avec l'extension bmp et non exe...
merci encore pour votre soutient.

[Invité]

Sub0 : le mime type n'est pas lié (dans le cas de serveru web) a l'extension ? par exemple sous IIS (je sais pas sou apache), il y a une admin pour relier une extension a un mimetype ....

[Sub0]

Au pire, il suffirait de vérifier le type mime en testant le chargement de l'image avec les fonctions imagecreatefrom.... avec un switch. Je crois que c'est comme ça que j'ai procédé pour mon script d'upload d'avatar; Je teste l'extension, le type mime et le chargement (éventuellement ensuite, les dimensions). De toutes façons, je recadre et redimensionne l'avatar, alors ça ne peut fonctionner qu'avec une vraie image...

Sub0 : le mime type n'est pas lié (dans le cas de serveru web) a l'extension ? par exemple sous IIS (je sais pas sou apache), il y a une admin pour relier une extension a un mimetype ....

Je ne sais pas, désolé.

[Sub0]

J'ai retrouvé; Je l'avais fait pour cette démo PHP & Javascript :
http://sub0.developpez.com/php/edit_ima/