Zend FR

Donc, le hackeur ne peut utiliser que les variables que j'utilise moi ?

En l'occurrence sur la page d'accueil du nouveau site les seuls paramètres que je reçois dans l'objet "request" sont le module, controller et l'action.

Je dois donc faire un plugin pour échapper et nettoyer ces paramètres au moment du routage ?

Dans mon cas, le script malveillant est injecté directement dans la balise <head> du site, ce qui est assez bizarre.
Une balise <script>evalscript()</script> qui est ré-injectée régulièrement.


Merci.

A+ benjamin.

Dernière modification par Delprog (09-06-2009 15:49:37)

Hum on sent comme un vécu et une petite frustration dans tes mots

Tu connaitrais pas un article (un bon) qui explique comment se protéger correctement contre tout ça ?

Parce que tu donnes des exemples, comme le "user_agent", c'est vrai qu'on y pense pas, du coup il faudrait vérifier un bon paquet de variables dans les plugin, ça fait un peu peur.

S'il existe un site qui répertorie l'ensemble des possibilités connues que les hackeurs utilisent pour injecter du JS ce serait pas mal

Après je veux bien me faire un plugin qui contrôle tout ça.

Mais à priori, si j'ai bien compris, si les scripts sont présents dans les variables mais que je n'utilise pas ces dernières je ne risque rien.
Je dois nettoyer que celles que je vais traiter/afficher/utiliser ?


Merci pour ton aide en tous cas ! :p

A+ benjamin.

Il est prévu dans ZF2 d'ajouter du filtrage dans l'objet de requête directement, qui est la seule porte d'entrée dans le script (si on ne touche pas à $_GET|POST etc...). C'est un des intérêts de MVC.

Il faut valider toute entrée, et échapper toute sortie. Oui, même $_SERVER est une entrée, la plupart des paramètres proviennent de HTTP. Forgez une requête HTTP avec Telnet et vous verrez. Il faut donc valider les paramètres get, post, cookie et server; ceci peut être fait directement en jouant avec l'objet de requête MVC et en le redéfinissant.

PHP5.2 possède une extension "filter", qui peut filtrer $_GET|POST (ou autre) avant même leur entrée dans le script PHP ( paramètres du php.ini ), c'est très efficace.

Mod_Security de Apache sait aussi parfaitement filtrer les entrées avant de les passer aux gestionnaires (handlers, dont PHP fait partie), au prix d'une baisse de performance globale (à mesurer).

Cherchez sur cgisecurity.org ou encore ha.ckers.org ; vous trouverez tout ce qu'il faut mais globalement il faut impérativement se dire que l'utilisateur de l'application n'est ni plus ni moins qu'un client HTTP, un gentil internaute sous son navigateur fétiche, une application Web faisant office de client (service Web), un téléphone mobile, une console de jeu, ou encore un pirate sous Telnet (ou autre outils). Boite noire contre boite noire, ya pas de secret, c'est HTTP.

il ne faut jamais remettre dans la pages des éléments reçus sans les avoir traités.

j'ajoute qu'il faut réduire au maximum les éléments qui sont transmis dans le header et dans les urls

Si certains paramètres peuvent être envoyés à toutes les pages (langue, message d'erreur, url de redirection,...) il faut les valider de façon systématique dans un plugin.

Il faut les supprimer ça ne sert à rien d'envoyer systématiquement des valeur que le serveur peut conserver de sont côté. la langue ne doit être transmise au serveur que si elle change. elle doit l'être sous une forme qui n'est pas cette que le serveur utilise en interne. (ce qui oblige à la traiter pour la comprendre.)

ne conserver dans le dialogue avec le client que ce qui est strictement nécessaire. le reste doit être systématiquement éradiqué.

A+JYT