Securité serveur & upload

cs_eva4 Messages postés 278 Date d'inscription dimanche 13 décembre 2009 Statut Membre Dernière intervention 24 juin 2011 - 27 janv. 2010 à 13:26
TychoBrahe Messages postés 1309 Date d'inscription samedi 31 janvier 2009 Statut Membre Dernière intervention 5 juin 2013 - 28 janv. 2010 à 00:27
bonjour,

Une petite question me passe par la tête, et je crois avoir aperçu un sujet dans ce sens il y a quelques temps de cela.

Cette question, c'est avant tout pout la sécurité du coté serveur.

Est il possible de creer un fichier php, de le renomer en gif, de l'uploader sur un serveur et, au clic du faut fichier.gif, il revient .php et exécute une requète ?

merci

6 réponses

citt Messages postés 209 Date d'inscription dimanche 8 juin 2003 Statut Membre Dernière intervention 9 février 2012 3
27 janv. 2010 à 16:08
Pas exactement.
Si tu veut exécuter une requête dans un fichier php grâce à une image, il suffit de creer une image gif en GD dans ton fichier php et de l'utiliser comme une image, comme cela à chaque affichage de ton image ta requête sera exécutée !


Citt_jr
Bats toi avec les meilleurs, crève avec le reste
http://www.tsubara.net
0
cs_eva4 Messages postés 278 Date d'inscription dimanche 13 décembre 2009 Statut Membre Dernière intervention 24 juin 2011
27 janv. 2010 à 16:12
oula j'ai pas tout compris...

c'est quoi

il suffit de creer une image gif en GD dans ton fichier php et de l'utiliser comme une image
0
citt Messages postés 209 Date d'inscription dimanche 8 juin 2003 Statut Membre Dernière intervention 9 février 2012 3
27 janv. 2010 à 16:18
<?php
header("Content-type: image/png");
$im = @imagecreate(110, 20)
    or die("Impossible d'initialiser la bibliothèque GD");
$background_color = imagecolorallocate($im, 0, 0, 0);
$text_color = imagecolorallocate($im, 233, 14, 91);
imagestring($im, 1, 5, 5,  "A Simple Text String", $text_color);
imagepng($im);
imagedestroy($im);
?>


Met ce script dans un fichier php est execute le, tu verra cela affiche une image png. Tu pourra appeler ce script dans une balise image.

Il suffit de mettre après le imagedestroy($im); l'exécution de ta requête.

Citt_jr
Bats toi avec les meilleurs, crève avec le reste
http://www.tsubara.net
0
cs_eva4 Messages postés 278 Date d'inscription dimanche 13 décembre 2009 Statut Membre Dernière intervention 24 juin 2011
27 janv. 2010 à 17:30
je l'ai intégré dans une page php existante, et rien n'apparait
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
citt Messages postés 209 Date d'inscription dimanche 8 juin 2003 Statut Membre Dernière intervention 9 février 2012 3
27 janv. 2010 à 17:41
Tu ne peut pas le mettre dans une page déjà existante, il faut que ce soit une page à part.

Citt_jr
Bats toi avec les meilleurs, crève avec le reste
http://www.tsubara.net
0
TychoBrahe Messages postés 1309 Date d'inscription samedi 31 janvier 2009 Statut Membre Dernière intervention 5 juin 2013 12
28 janv. 2010 à 00:27
Salut,

Est il possible de creer un fichier php, de le renomer en gif, de l'uploader sur un serveur et, au clic du faut fichier.gif, il revient .php et exécute une requète ?

Non.

Bon a savoir : apache se base sur les extensions des fichiers pour définir son comportement, un fichier .png, .jpg ou autre contenant en réalité du code malicieux ne pose pas en soi de réel problème de sécurité car le code ne sera jamais exécuté (sauf si apache à été configuré avec les pieds, et malheureusement ça arrive...). Cependant, ceci rend tout de même possible l'exploitation d'une éventuelle faille d'inclusion si elle existe et que l'intérêt y est. Bref, une bonne prévention est déjà de limiter les extensions de fichiers uniquement aux extensions explicitement autorisées (et tant qu'on y est faire attention aux .php.png par exemple, je ne sais plus si ça peut jouer m'enfin bon).
0