Important à Lire, Faille critique PHP

Bonjour à tous,

je vous conseil plus que VIVEMEMENT de lire l'article qui suis !!

Salut,

lol c'est pas vraiment une faille pour moi... c'est juste une erreur de débutant (ou utilisation de vieux scripts), et je ne pense pas que ce genre d'utilisation d'include se fait encore... suffit de réfléchir un peu quand on fait ses programmes. ^^

angelius: t'es du genre qui aide si on a besoin de rien ?

skyvador: merci pour cette info qui permettra a certains de sécuriser leurs scripts.

Cette faille en est une si votre serveur permets de remonter l'arborescence avec php. Le petit malin pourrait alors ouvrir n'importe quel fichier du serveur si il mets le bon chemin.

il est important de verifier ses scripts car beaucoup de scripts utiliseaient cela (phplinks entre autre et certains morceaux de vielles version de php-nuke)

Bah tiens c'est peut être pas faux mais on a toujours besoin d'aide de toute façon.

C'est vrai ça arrive souvent ce genre de chose, on se retrouve avec des fichiers hacker.txt qui te disent que tu as été piraté, mais ça c'est un gentil hacker qui prévient d'une faille... car on voit plus souvent une page qui remplace le site en entier.

Faut faire gaffe où on met ses passes de base de données, ftp et autres aussi... perso pour la bdd j'ai tout simplement dans un fichier que j'include à chaque fois pour ouvrir le mysql... c'est pas vraiment sécurisé je trouve si on a accès à n'importe quel fichier...

si l'on a la chance de pouvoir le faire, il faut inclure le fichier de configuration hors des fichiers atteignables par le web.

pas de www.toto.com/config.php

placez le plutot dans une racine innacessible et incluez le par "../biduleamoi.php"

cela permets de prévenir d'un gros hack si par malheur php venait à mourrir lors d'un redemarrage d'apache.( en gros un serveur où php ne marcherait pas)

si vous ne pouvez pas

placez le dans un repertoire au dessus style jesuispasla/biduleamoi.php

et placez un .htaccess qui interdisse le parcours du repertoire.

enfin, pour sécuriser mysql, il est deconseillé d'accepter les connexions qui ne viennent pas de localhost

Je pensais que cette faille critique était déjà oubliée et plus employée depuis le temps (ca fait 2 ans je pense qu'elle à été trouvée).

Pour l'évitée il faut simplement mettre un nom dans la variable de page (ex : $p=forum).
Dans une fichier qu'on inclus on fera un switch de la variable page ou on fera un require('nom_de_la-page.php').
@+

Je viens de voir que j ai un vieux php my links qui traine sur mon site principal, faut il mieux le virer par sécurité ?

Sinon quand on fait des includes qui ont directement le nom de la page à ajouté le problème est réglé ?

J'ai pas trop compris comment faire fasse au probleme

Par exemple dans mon site j'ai un truc comme sa :

include('bannierehaut.php');

sa ca va pas ? c'est dangereux ?

Que doit-je faire ?

Il faut que je mette le chemin dans une variable ?

non le tiens n'est pas dangereux:)

pour php my links: je penses que tu devrais au moins jeter un oeil oui.

pour programmer propre il ne faut PAS de include avec une variable tout simplement.
un switch est beaucoup plus propre

oki ouf tu me rassure

Merci

salut je viens ajouter mon grain de sel :

le include / require est beaucoup plus pratique que le switch mais il faut un minimum de sécurité : exemples :

1/ mettre toutes les pages a inclure dans un dossier ./inc (sous dossiers possibles bien entendu)

puis le code se présente ainsi : mapage.php?page=trucmuche

maintenant on reprend les mêmes et on recommence mais façon optimisée :

c'est y pas beau ça ? (j'ai inventé ça directement sur ce forum, c'est donc non testé mais les seuls erreurs peuvent venir d'une faute de frappe, le principe lui est sur)

c'est joli

je doute sur les temps de calculs.
fileexist + ereg + etc plus cours qu'un switch?

ensuite tu passe toujours le nom de fichier en variable et est limité à un include dans un repertoire.

S'il y a une erreur (fichier pas trouvé) et que ton script affiche les warning (config php de la plpart des serveur mutalisé, outrepassable), tu va avoir une joli ligne "Warning blablabla ... blablabla". Faut mettre un @
Il faut que tu fasse un urldecode sur le résultat de $_GET
En virant les . t vire aussi le . de l'extension

Au final oui le switch en cas de dépendance variable c'est mieux. D'ailleurs le mieux s'est pas de dépendance variable du tout (comment vous faites avec les langage compilé ? hein ? hein ? )

avec les languages compilés t'as une memoire vive

Et ça te permet de modifier les dépendances ça ? quel est le rapport ?
La réponse était : avec des plugins

A propos des includes dynamique, est ce possible de faire un include avec des paramètres, exemple :incude $script."?".$params;

bon cei dit je vois bien que c'est carrément déconseillé, aussi question n°2 : existe il en php un équivalent à l'objet ASP xmlhttp qui (contrairement à c que son nom laisse supposer) permet d'ouvrir dans le code tout script à partir de son url (avec params) et de récuperer le résultat dans une chaîne (méthodes open et send) ?

merci,

1) euh... pire cela veux rien dire et ne peux présenter aucun interet

2) oui mais là il est tard et je me rappel plus du nom (fopen ou un truc du style mais fopen je crois que c'est en local... mais ayant déjà fait cela pour recuperer les stats du seti je sais que cela existes...)

@ Zumba

2) Tu parles de la fonction file() ?
http://www.nexen.net/docs/php/annotee/function.file.php

euh je ne suis pas tout a fait sur,
j'ai parcoru l'aide que tu mets mais j'ai l'impression que file ou fopen( fopen j'en suis sur) ouvrent un fichier local ou distant et renvoient son contenu brut de décoffrage. Ca fort heureusement je sais le faire, mais moi je veux exécuter un php à distant et récuperer dans une chaine le résultat de l'exécution, la réponse http quoi (et le header, ca peut aider).

exemple de ce que je cherche à faire (avec passage de paramètres) :

voili voilo, merci les gens !

fopen permet de faire ça "à la main" mais si tu veux un package tout fait tu peux regarder du côté de PEAR/HTTP Client ou PEAR/HTTP Request

http://fr.php.net/function.fopen

si tu cause un peu anglais, y a toutes les fonctions qui vont bien dans les commentaires

Eh ben j'en bave,
ca fait un moment que je tourne la chose dans tous les sens avec fopen mais sans succes

manière directe : fopen("http://www.monsite.com/sousrep/zobi.php?param=zumba","r");
ca mouline qq secondes puis ca fait un die, mon pouet.php ne termine meme pas son exécution (et c'est trop court pour être un timeout à mon avis)

ensuite il y a la fonction proposée dans les manual-comments de php.net :

hélas elle me sort un Warning: fsockopen(): unable to connect to 212.27.XX.YY:80 in messageintendant.php , au fsockOpen() puis a l'affichage du contenu biensûr : "unknown". Le nom dns est visiblement bien traduit mais derrière ca ne passe pas, y a t'il une chance que ce soit du aux restrictions de sécurité de mon hébergement (online.fr) ? si non, une autre idée ?

quant aux packages, ca a l'air d'être exactement ce que je cherche mais hélas je n'ai pas la main sur les serveurs de mon hébergeur !

L'hébergeur peut désactiver cela avec la directive allow_url_fopen (utilise phpinfo() pour le savoir), mais plus généralement il a pu bloquer les connexions HTTP vers l'extérieur au niveau de son firewall...

Si c'est le cas, quelle que soit la solution utilisée, pas moyen de passer

Y'a du mieux, mai sc'est pas encore ca !

le allow_url_fopen est bien à ON

mmmh a la limite mon zobi.php et mon pouet.php sont sur le meme serveur.
donc j'essaye avec localhost au lieu de www.monsite.com.
et là au lieu de me jeter il me renvoie bien la réponse http mais c'est un not found...
pas moyen de retrouver l'url du fichier, grrrr....

Est-ce qu'ils sont aussi sur le même hébergement ? Dans ce cas il y a plus simple...

Sinon :

C'est normal qu'il ne trouve pas ton fichier :
En HTTP 1.1, l'entête 'Host' de la requête sert à préciser sur quelle domaine aller chercher le fichier (cela sert à avoir plusieurs domaines sur la même IP, chose impossible en HTTP/1.0), et il y a très peu de chances pour que localhost pointe vers ton domaine (c'est de la config serveur)

Tu peux essayer de le blouser en te connectant sur localhost (fonction fsockopen) mais en mettant le bon nom de domaine dans l'entête Host: mais je ne saurais t'assurer à 100% que ça marche