Accueil du forum
Tableau de bord
Liste des membres
Qui est en ligne?
Mon profil
Messages privés
Nouveau message
Recherche
Calendrier
Zine
URL de redirection
Créer un PasteBin
Classement (Top 100)
Proposez un challenge! 
Hacking
Hacking 
Spirit of hack
Messages: 32 816
Client IRC en ligne
|
injection de code malicieux sur des fichiers images
|
|
12-01-2015, 21h59
Message : #2
|
|
supersnail
Éleveur d'ornithorynques   Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: injection de code malicieux sur des fichiers images
Bonjour,
Tout d'abord ton code PHP ne sera exécuté uniquement si tu fais un include() du fichier (ce qu'il ne faut évidemment pas faire...). Pour lire le contenu de l'image, la fonction file_get_contents ("nom_du_fichier") fera très bien l'affaire et lira le contenu entier du fichier sans chercher à l'interpréter, tandis que le javascript éventuel "contenu" dans une image n'est pas interprété par le navigateur. Ensuite, concernant l'envoi de fichier, le mieux reste encore de vérifier l'extension en autorisant que certaines extensions et en rejetant les autres (pour qu'un attaquant ne puisse pas uploader de fichiers sensibles) ET le type MIME du fichier (vérifier que on reçoit bien une image si le script attend une image). Sinon pour apprendre, y'a quelques challenges assez faciles qui permettent de t'entraîner à exploiter cette faille 
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp"VIM est merveilleux" © supersnail |
|
|
|
|
« Sujet précédent | Sujet suivant »
|
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)