Cette réponse n’est absolument pas satisfaisante à mon avis.
Le « ça fonctionne chez moi » ne suffit pas pour dire que c’est un faux positif : il y a plein de failles remontées lors de mon audit avec HP Fortify que je n’ai jamais pu reproduire pour moult raisons (il faut un navigateur qui a des bugs de moteur d’analyse spécifiques, un serveur qui soit configuré sur un environnement donné, etc…)
Il faut pouvoir prouver qu’on a suffisamment verrouillé le paramètre ?page= pour qu’il n’y ait pas d’injection possible (même face à un post envoyé avec un encodage utf7 – malheureusement supporté par quelques serveurs – et plein de \0 par exemple)
Une première approche est déjà de préciser que l’écran de sécurité est désormais intégré à SPIP, ce qui n’est pas le cas des deux versions signalées - et qu’un utilisateur ne peut plus ne pas l’installer avec SPIP. Donc peut-être que le test qui déclenche l’erreur xsspage suffit ici à protéger une injection SQL.
Ce qui est dommage c’est que l’outil d’audit ne donne que la manifestation externe de la faille potentielle qui a été détectée, mais ne précise pas à quel endroit du code source (et son chemin d’exécution) est-ce que cette injection va précisément se produire (ce que fait HP Fortify). C’est certainement ce contexte qu’il faudrait demander - éventuellement à voir avec les développeurs du produit d’audit.
Cela me fait penser qu’on devrait nous aussi avoir un outils d’audit qu’on utilise en interne qui tourne sur SPIP, mais aussi sur les plugins qui sont souvent de vrai passoire (je pense particulièrement à skeleditor, mais il ne doit pas être le seul). En connaissez-vous un qui retourne moins de faux positifs que HP Fortify, qui puisse faire de l’analyse de code ET de l’étude de site en fonctionnement réel, tout en restant abordable pour nous (donc, vu notre fonctionnement, qui reste gratuit à moins que vous ayiez des pistes… ) ?
Il est important, me semble-t-il, de pouvoir anticiper les remontées de failles qui peut être un énorme problème (cf. la faille remontée avec son exploit pour la création d’un compte administrateur)
Qu’en dites-vous ?
.Gilles