[SPIP Zone] Question sécurité et méthode

RealET · Août 1, 2019, 7:06

Bonjour,

J'avais une page avec beaucoup de calculs d'images qui dans certains cas ne s'affichait pas du tout.
Pour palier à cela, j'ai eu l'idée d'externaliser le calcul de chaque image.
Pour cela, j'ai créé ce squelette : https://zone.spip.net/trac/spip-zone/browser/spip-zone/squelettes/soyezcreateurs_net/trunk/plugins/soyezcreateurs/tuile.html?rev=116191
qui reçoit en paramètre :
- le chemin de l'image d'origine
- la largeur souhaitée
- la hauteur souhaitée

Résultat : mes pages qui ne s'affichaient pas s'affichent enfin.

Mes questions :
- est-ce que ça vous semble une bonne méthode ?
- est-ce que vous y voyez un risque de sécurité ?

--
RealET

cerdic · Août 1, 2019, 7:37

2 règles de sécurité quand on ecrit du php dans un squelette :
TOUJOURS appliquer |texte_script a la fin d’un filtre qu’on injecte dans une variable PHP, et TOUJOURS utiliser des simples quotes

$toto = '[(#TRUC|filtre_ce_que_tu_veux|texte_script)]’;

Sinon oui c’est un trou béant (là je peux surement faire du remote code execution en envoyant une image fake avec un src foireux)

--
Cédric
Le 1 août 2019 à 09:06 +0200, RealET <real3t@gmail.com>, a écrit :

Bonjour,

J'avais une page avec beaucoup de calculs d'images qui dans certains cas
ne s'affichait pas du tout.
Pour palier à cela, j'ai eu l'idée d'externaliser le calcul de chaque image.
Pour cela, j'ai créé ce squelette :
https://zone.spip.net/trac/spip-zone/browser/spip-zone/_squelettes_/soyezcreateurs_net/trunk/plugins/soyezcreateurs/tuile.html?rev=116191
qui reçoit en paramètre :
- le chemin de l'image d'origine
- la largeur souhaitée
- la hauteur souhaitée

Résultat : mes pages qui ne s'affichaient pas s'affichent enfin.

Mes questions :
- est-ce que ça vous semble une bonne méthode ?
- est-ce que vous y voyez un risque de sécurité ?

--
RealET

----
spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone

RealET · Août 1, 2019, 9:01

Cerdic a écrit le 01/08/2019 à 09:37 :

2 règles de sécurité quand on ecrit du php dans un squelette :
TOUJOURS appliquer |texte_script a la fin d’un filtre qu’on injecte dans une variable PHP, et TOUJOURS utiliser des simples quotes

$toto = '[(#TRUC|filtre_ce_que_tu_veux|texte_script)]’;

Sinon oui c’est un trou béant (là je peux surement faire du remote code execution en envoyant une image fake avec un src foireux)

Merci pour ton éclairage.
J'ai sérieusement modifié le code suite à tes remarques.
https://zone.spip.net/trac/spip-zone/browser/spip-zone/_squelettes_/soyezcreateurs_net/trunk/plugins/soyezcreateurs/tuile.html?rev=116192

Qu'en penses-tu ?

--
RealET