Sécuriser faille include
3 participants
Page 1 sur 1
Sécuriser faille include
J'écris ce petit tutorial pour montrer une parade (parmis tant d'autres) à la célèbre faille include. Je ne reviens pas sur la manière d'exploiter cette faille que vous trouverez à tous bouts de champs sur le net. Je donne seulement un script pour contrer la faille.
Voici tout d'abord le genre de script dangereux :
Et voila maintenant le script sécurisé :
IMPORTANT: Les fichiers à inclures doivent porter l'extention .PHP et non pas .INC
Voila en espérant avoir apporté de l'aide.
Voici tout d'abord le genre de script dangereux :
<?php
include "Fichier.inc";
?>
Et voila maintenant le script sécurisé :
<?php
// On met les fichiers à inclure dans le tableau $pages[]
$pages=@array("NomDossierBidon/Fichier1.php","NomDossierBidon/Fichier2.php");
// On parcourt entierement le tableau $pages[] avec la boucle FOREACH
foreach ($pages as $cle => $valeur)
{
// A chaque ittération de la boucle FOREACH la structure conditionelle IF vérifie si le fichier existe ET s'il appartient bien au tableau $pages[]...
if ($cle==$valeur and file_exists($cle))
{
@require_once $cle; //... si c'est le cas, le fichier est inclut
}
else
{
//Sinon on redirige vers la page d'accueil
@Header("Location: http://NomDuSite.fr/index.php");
}
}
?>
IMPORTANT: Les fichiers à inclures doivent porter l'extention .PHP et non pas .INC
Voila en espérant avoir apporté de l'aide.
Dernière édition par le Jeu 30 Aoû - 12:30, édité 1 fois
luluberlu21- Messages : 8
Date d'inscription : 29/08/2007
Re: Sécuriser faille include
Merci !
Oui effectivement ca pourra être utile parce que malgrés que cette faille commence d'être connue, je trouve encore des sites faillibles.
Oui effectivement ca pourra être utile parce que malgrés que cette faille commence d'être connue, je trouve encore des sites faillibles.
luluberlu21- Messages : 8
Date d'inscription : 29/08/2007
Re: Sécuriser faille include
Si je puis me permettre, ton tuto comporte une erreur.
Le script php d'inclusion utilisé comme ceci:
Un exemple d'include faillible serait:
Comme on le voit ici le script est faillible car:
1. Il ne filtre pas la variable
2. Ne vérifie pas que la page inclue existe sur le serveur
On pourrait donc inclure google et entrant une url de type:
Si le code est sécurisé, il se rendra compte de la supercherie.
Cordialement
Le script php d'inclusion utilisé comme ceci:
- Code:
include "Fichier.inc";
Un exemple d'include faillible serait:
- Code:
$page = $_GET['page'];
include($page);
Comme on le voit ici le script est faillible car:
1. Il ne filtre pas la variable
2. Ne vérifie pas que la page inclue existe sur le serveur
On pourrait donc inclure google et entrant une url de type:
- Code:
http://siteweb.com/index.php?page=http://google.com
Si le code est sécurisé, il se rendra compte de la supercherie.
Cordialement
IntelXeon- Messages : 5
Date d'inscription : 30/08/2007
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum
|
|