Bonjour,
 
J'ai entendu parler d'une technique qui permettrait de hacker un site jusqu'à Apache par l'intermédiaire d'images que l'on pourrait uploader sur la machine.
 
Quelqu'un a-t-il des infos à me donner à ce sujet ?
 
Merci !!!
 

tu pourras refaire la phrase car j'ai pas très bien saisi ta question, hacker simplement Apache en chargeant une image ou comme ton titre le laisse supposer, se faire hacker en uploadant une image sur un serveur apache ?

Oui c'est plutôt se faire hacker en uploadant une image sur un serveur apache ...
Désolé

est ce que tu crois vraiment que le fait d'uploader une image sur un serveur (Apache ou autre) tu pourrais te faire hacker ?
1) dès que tu te connectes sur un serveur, le serveur connaît ton IP mais est ce qu'il peut pour autant te hacker ?
2) un site web peut avoir du code permettant d'exploiter des failles du navigateur web donc ce n'est pas spécifique à Apache ni à la possibilité d'uploader une image. La solution consiste à mettre à jour son navigateur.

Non je crois que je me suis encore mal exprimé...
En fait il semble qu'il existe une technique permettant de hacker n'importe quel site (le hack pouvant toucher le serveur, en l'occurence Apache) par le biais d'images que l'on téléchargerait.
Je ne sais pas quel est le principe. Mais on me conseille pour eviter ce type d'attaque, de créer un répertoire temporaire dans lequel l'image va se placer.
Dans la foulée, un fichier php va scanner le répertoire et autoriser l'écriture de l'image sur le serveur.
Il y a une histoire de droits d'écriture mais je n'en sais pas plus...
Il parait que c'est une faille de sécurité énorme et très connue.  
Je ne pense pas que l'image en elle même soit en cause mais plutôt le principe d'upload qui pemettrait d'envoyer du code au serveur directement ou d'écrire dessus puisque l'on a le droit d'envoyer une image.
 
Merci pour vos infos.

Je vois ce que tu veux dire, il y a avait un topic sur cette "faille" dans la catégorie programmation.
La règle à retenir est de ne jamais faire confiance aux données (POST,GET...) que l'utilisateur envoie -> vérification des extensions, parser chaque entrée...
En activant le safemode, PHP protège automatiquement les entrées en les quotant (on évite les injections de code).
Cette faille est plutôt un problème de conception du site qu'un bug d'Apache.

Oui je vois ce que tu veux dire, si le site est mal conçu ça craint effectivement.
 
Tu parles du safe mode de php, c'est quoi exactement, est-ce que c'est une façon de programmer différente, un module,... ?
 
Merci pour cette info

une option dans le fichier php.ini par contre ce n'est pas la recette miracle, il faut que même que le developpeur verifie chaque entrée de l'utilisateur.

Pfou... j'ai pas de fichier php.inc
Est-ce que c'est un fichier qui peut-être appelé config.php ?

Il faut que tu puisses accéder à la configuration d'Apache. Tu peux faire un phpinfo() pour voir si le safemode est activé.

C pas dangereux cette fonction ???

Laquelle ? phpinfo() ?

phpinfo =

 
Vérifier une image genre jpg... marche aussi avec gif, png, etc...
 

 
C'est ça que tu cherches nan ?

Ce que je veux dire c'est que la fonction phpinfo donne pas mal de renseignements à n'importe quel cracker sur la config de ton serveur, donc il s'évite pas mal de test.
En ce sens je pense que un fichier avec une fonction phpinfo laissé à poste sur ton ftp c'est pas bon.
 
En fait l'idée de départ est (d'après ce que je comprend) que sur une page permettant un upload d'image on pourrait télécharger un fichier pirate pour détruire le site.
Maintenant je ne sais pas si c'est dans le chemin du fichier qu'on met ce code ou dans la source de l'image...
 
En fait j'ai du mal à voir comment on peut faire.
Dex