Forum > Conception et développement > Upload de photo et Hacking

Upload de photo et Hacking

Auteurs Messages
icone offline stc # Posté le 16/02/2011 à 19h17
avatar de stc
Rang: membre
Salut tout le monde !
Que préconisez vous contre le hacking via l'upload d'image ? (mettre un script dans une image est-ce reelement possible?)
Merci
Referencement - Échange de liens - Ze-annuairE
Le bon troc - Don et recup - Emploi
smiley
icone online funnycat # Posté le 16/02/2011 à 20h51
avatar de funnycat
Rang: administrateur
Bonjour.
Oui c'est possible de hacker un site via un formulaire d'upload d'image. Je te recommande la lecture des slides de l'intervention de Damien Seguy lors de sa présentation "Hackez-moi ce site LAMP" pendant les Rencontres Mondiales du Logiciel Libre de 2010. La page 67/69 des slides, présente un exemple de faille pour un fichier GIF si tous les fichiers sont traités par PHP.
Sinon si tu fais un système d'upload, je te recommnde également la lecture du tutoriel "Upload de fichiers en PHP" en particulier au chapitre qui explique pourquoi utiliser ce bout de code:
Code:
if( preg_match('#[\x00-\x1F\x7F-\x9F/\\\\]#', $name_file) )
{
exit("Nom de fichier non valide");
}
else if( !move_uploaded_file($tmp_file, $content_dir . $name_file) )
{
exit("Impossible de copier le fichier dans $content_dir");
}

C'est vraiment très instructif et ça permet de développer des applications plus sécurisées.

J'espère que ça t'aidera. smiley
Ma page préférée? Le dossier référencement qui présente une multitude d'informations utiles. smiley
Sinon hors internet je suis développeur web PHP.
icone offline stc # Posté le 16/02/2011 à 20h54
avatar de stc
Rang: membre
Merci pour toutes ces infos, je vais voir ça
Referencement - Échange de liens - Ze-annuairE
Le bon troc - Don et recup - Emploi
smiley
icone offline stc # Posté le 17/02/2011 à 19h07
avatar de stc
Rang: membre
En fait j'aimerais sécurisé un site oscommerce, je comprend pas qu'on puisse le hacker avec de l'upload d'image car ceux ci se font uniquement via l'admin (protégée par un mot de passe)
Referencement - Échange de liens - Ze-annuairE
Le bon troc - Don et recup - Emploi
smiley
icone online funnycat # Posté le 17/02/2011 à 20h54
avatar de funnycat
Rang: administrateur
Bonjour.
Et bien si le site utilise un CMS connu, les URL du côté admin peuvent tout de même être connu. Dans ce cas, il n'est pas trop compliqué pour un hacker d'exploiter une faille "Cross-site request forgery".

Toutefois, lorsqu'il s'agit d'un CMS connu, il faut juste mettre à jour régulièrement pour avoir une version un peu plus sécurisé. Dès correctif de sécurité sont ajouté régulièrement.

Est-ce qu'ont parle bien d'un CMS là?
Ma page préférée? Le dossier référencement qui présente une multitude d'informations utiles. smiley
Sinon hors internet je suis développeur web PHP.
icone offline stc # Posté le 17/02/2011 à 21h38
avatar de stc
Rang: membre
oui on peut dire que c un cms
Referencement - Échange de liens - Ze-annuairE
Le bon troc - Don et recup - Emploi
smiley