Julien Pauli DevPHP blog

Voici un petit rappel : n’affichez jamais PHP_SELF sans la sécuriser (htmlentities). De manière plus générale, n’affichez jamais, de manière brute, une donnée externe, quelque soit sa source. Tout ce qui vient de l’exterieur, est susceptible d’etre altéré; tout : $_SERVER[], $_COOKIE[], $_FILES[] aussi, $_GET[],POST[](REQUEST[] donc) bien entendu, $_ENV est plus discutable.(Sans oublier l’environnement ajascent : base de données, programmes, réseau et flux …) Un code du style <?php echo $_SERVER[‘PHP_SELF’] ?> autorise une injection […]

Avant de commencer, je précise que mysql est une extension vieillissante dans PHP. PHP5 a vu apparaitre l’extension mysqli (i = improved), qui je rappelle offre un double style ( objet et procédural fonctionnel ), permet de profiter des nouveautés de mysql4.1 (et plus) : transactions, requêtes préparées; et de plus, elle s’avère plus rapide et efficace que sa vieille soeur mysql. PDO permet aussi d’interfacer efficacement avec une base de donnée mysql (entre autres). […]

Un nom bien barbare qui signifie Open Web Application Security Project et Web Application Security. Une belle conférence qui s’est tenue récemment aux USA, des photos sont disponibles ici On peut y lire les programmes des journées. Bien entendu Jeremiah Grossman (de WhiteHat Security), RSnake et même Samy Kamkar, étaient présents. Samy a d’ailleurs donné une conférence sur la son fameux ver MySpace Un gros nids mondial de spécialistes de la sécurité du web, vous […]

Le très sérieux site international de la sécurité du web, Whitehatsec, dirigé par un expert en sécurité, Jeremiah Grossman; vient de publier le classement des types d’attaques web par fréquence d’apparition. Sans surprise, le Cross Site Scripting (XSS) tient la palme d’or, il est suivi par le vol de données, et la modification de contenu. Le rapport est en anglais, format pdf (11 pages), vous le trouverez ici

Si vous ne savez pas ce qu’est le CSRF, je vous conseille avant tout mon article sur la sécurité du web Récemment, une attaque de type CSRF a été trouvée dans Gmail. Si vous êtes loggué sous Gmail, un simple clique vers un lien envoie une requête POST au serveur Gmail. Cette requête a pour but de créer un nouveau filtre, qui redirige tous les messages que vous recevez (comportant une pièce jointe), vers une […]

Et voila, encore un display_error à On sur paris.velib.fr. Voyez l’image. : un système de cache qui a foiré. On remarque qu’ils utilisent PEAR, et qu’ils tournent avec Ezpublish Je rafraichis tout le monde : en production, on passe toujours display_error à off, car les utilisateurs n’ont que faire des éventuelles erreurs, qui surtout peuvent divulguer beaucoup d’infos au niveau de la configuration ou de l’architecture du serveur. En revanche on active log_error et parfois […]

Mon cher ami Damien, de Nexen, associé avec Philippe Gamache, viennent de publier un livre sur la sécurité PHP5 et Mysql. J’ai commencé sérieusement à le bouquiner, et il m’a semblé normal de le citer sur ce blog, et de vous inciter à l’acheter. Il reprend, en Français, chose plutôt rare pour un tel concept, les fondamentaux de la sécurité d’une application web, principalement livrée par PHP5 et Mysql. On y retrouve au menu le […]

On a déja vu, grace à Samy notamment, les dommages que peut provoquer un code javascript malicieux sur un site. Le danger du XSS est permanent dès lors que javascript est activé sur le poste du client. Un nouveau ver vient de faire son apparition sur la toile, et sa caractéristique unique est qu’il est capable, avec un seul code source, d’infecter plusieurs webmails différents. Pour moi ( mais ça ne tient qu’à moi hein […]

Savez vous ce qu’est le Same Origin Policy ? En fait, il s’agit d’un règle qui est implantée dans les navigateurs web, et qui empêche un document servi d’un site A , ou un script lancé dans ce document, d’accéder à un document servi d’un site B, ou aux objets de ce document. C’est une règle dé sécurité très importante, qui permet lorsque l’on surfe sur A, de ne pas se faire voler les données […]

Uploader un fichier grâce à PHP et une requête HTTP POST avec un enctype=multipart/form-data est vraiment très simple. Mais laisser quelqu’un encoyer un fichier sur votre serveur, qui plus est si ce fichier est destiné à être resservi, est par définition très dangereux. Et les images ne sont pas épargnées, en particulier le format GIF, qui permet une injection de code et l’exécution d’un code PHP sur votre serveur. Voici un article très intéressant qui […]