Vous êtes au niveau: Accueil / N-PN White-Hat Project / Questions / Security / injection de code malicieux sur des fichiers images






  • STATISTIQUES
  • Il y a eu un total de 0 membres et 47387 visiteurs sur le site dans les dernières 24h pour un total de 47 387 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Reddit
    Subreddit dédié à la sécurité informatique.
    Hacking
    [FR] Zmaster
    Articles sur l'informatique, le hacking, le P2P, les divx, les astuces windows XP, les GSM, Emule, la cryptograph...
    Hacking
    [EN] This is legal
    Basic: 10, Realistic: 5, Programming: 1, Bonus: 11, SQL: 2, Encryption: 6, Application: 4, User Contributed: 3
    Challenges
    [FR] Secuser
    Actualité de la sécurité informatique, fiches virus et hoax, alertes par email, antivirus gratui...
    Hacking
    [EN] Hack this site
    Basic: 11, Realistic: 17, Application: 18, Programming: 12, Extbasic: 14, Javascript: 7, Stego: 17
    Challenges
    [EN] Sabre Films
    Site de challenge présenté sous la forme d'une quête. Vous êtes un détective et devrez résoudre d...
    Challenges
    [EN] xda-developers
    Très bon site pour les gros bidouilleurs de smartphone de windows à androïd et de Apple jusqu'...
    Phreaking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Affichage linéaire
injection de code malicieux sur des fichiers images
13-01-2015, 21h38
Message : #9
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: injection de code malicieux sur des fichiers images
(13-01-2015, 21h12)wass19 a écrit :
Citation :la meilleure solution va etre de verifier les extensions du fichier
la je suis d'accord avec vous c'est une exelente idée de verifier l'extention du fichier

non ça n'est pas une bonne idée justement, même sans parler de double extension tu l'as vu toi même suffit d'un fichier toto.jpg qui contient uniquement du php pour qu'on soit déjà en dehors des clous, la seule méthode valable pour checker le type du fichier c'est de checker son contenu


Citation :j'ai modifié un fichier image avec notpad++, je lui ai injécté ce code :
Code :
<script>alert('Je suis');</script>
j'ai utilisé la fonction finfo_file(), il ma dis "image/jpeg" O_o, donc il ne detecte pas le code !!!

bien vu, et au temps pour moi Smile la fonction finfo_file() semble se baser sur le champ Content-type: de la requête http, lui même spoofable, donc on ne peut pas faire confiance à l'info que ça nous donne
je vais faire quelques tests de mon côté pour voir et éviter de te dire des conneries ;p

cela dit tu peux toujours essayer de convertir le fichier, si ça marche c'est que c’était bien une image (sinon pas), et au moins t'es à peu près sûr que s'il y avait des données foireuses dans l'image après conversion elles sont partis
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
(Nicolas Boileau, L'Art poétique)
+1 (0) -1 (1) Répondre


Messages dans ce sujet
RE: injection de code malicieux sur des fichiers images - par gruik - 13-01-2015, 21h38

Atteindre :


Utilisateur(s) parcourant ce sujet : 7 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut