Sécuriser faille include

Aller en bas

Sécuriser faille include

Message  luluberlu21 le Mer 29 Aoû - 20:41

J'écris ce petit tutorial pour montrer une parade (parmis tant d'autres) à la célèbre faille include. Je ne reviens pas sur la manière d'exploiter cette faille que vous trouverez à tous bouts de champs sur le net. Je donne seulement un script pour contrer la faille.

Voici tout d'abord le genre de script dangereux :

<?php
include "Fichier.inc";
?>

Et voila maintenant le script sécurisé :


<?php
// On met les fichiers à inclure dans le tableau $pages[]
$pages=@array("NomDossierBidon/Fichier1.php","NomDossierBidon/Fichier2.php");

// On parcourt entierement le tableau $pages[] avec la boucle FOREACH
foreach ($pages as $cle => $valeur)
{
// A chaque ittération de la boucle FOREACH la structure conditionelle IF vérifie si le fichier existe ET s'il appartient bien au tableau $pages[]...
if ($cle==$valeur and file_exists($cle))
{
@require_once $cle; //... si c'est le cas, le fichier est inclut
}
else
{
//Sinon on redirige vers la page d'accueil

@Header("Location: http://NomDuSite.fr/index.php");
}
}
?>

IMPORTANT: Les fichiers à inclures doivent porter l'extention .PHP et non pas .INC

Voila en espérant avoir apporté de l'aide.


Dernière édition par le Jeu 30 Aoû - 12:30, édité 1 fois

luluberlu21

Messages : 8
Date d'inscription : 29/08/2007

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Sécuriser faille include

Message  DR_KILLER le Jeu 30 Aoû - 10:20

Bravo ca peut être utile à certains WebMaster l'utilisant Very Happy

DR_KILLER
Administrateur
Administrateur

Messages : 148
Date d'inscription : 27/08/2007
Localisation : Nord.

Voir le profil de l'utilisateur http://www.programmer-facile.org

Revenir en haut Aller en bas

Re: Sécuriser faille include

Message  luluberlu21 le Jeu 30 Aoû - 14:23

Merci !
Oui effectivement ca pourra être utile parce que malgrés que cette faille commence d'être connue, je trouve encore des sites faillibles.

luluberlu21

Messages : 8
Date d'inscription : 29/08/2007

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Sécuriser faille include

Message  IntelXeon le Jeu 30 Aoû - 18:45

Si je puis me permettre, ton tuto comporte une erreur.

Le script php d'inclusion utilisé comme ceci:
Code:
include "Fichier.inc";
N'est absolument pas faillible car le client ne peut pas injecter quoi que ce soit dans l'include.

Un exemple d'include faillible serait:
Code:
$page = $_GET['page'];
include($page);

Comme on le voit ici le script est faillible car:
1. Il ne filtre pas la variable
2. Ne vérifie pas que la page inclue existe sur le serveur

On pourrait donc inclure google et entrant une url de type:
Code:
http://siteweb.com/index.php?page=http://google.com

Si le code est sécurisé, il se rendra compte de la supercherie.

Cordialement

IntelXeon

Messages : 5
Date d'inscription : 30/08/2007

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Sécuriser faille include

Message  Contenu sponsorisé


Contenu sponsorisé


Revenir en haut Aller en bas

Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum