Archive pour le mot-clef ‘sécurité’

Sécuriser ses uploads

Vendredi 30 septembre 2011

Avec le piratage tout récent du site Ubuntu-fr.org qui a révélé une faille se situant dans les uploads d’images, il est normal que l’on se préoccupe de la sécurité de son propre site au niveau des uploads.

La faille en question

Mis à part des include() mal sécurisées, les injections SQL et la faille XSS, une autre faille courante se situe dans le traitement des uploads d’images. Si la vérification n’est pas faite adéquatement, un pirate peut arriver à envoyer une image en PHP sous ce format image.png\.php en faisant en sorte de tromper la vérification du type de fichier (possible avec un plugin). C’est d’ailleurs par ce procédé que le pirate a réussi à uploader un avatar en PHP contenant les instructions permettant de récupérer les accès et d’ajouter d’autres fichiers PHP sur le site. Vous pouvez en savoir plus sur l’attaque en consultant ce fil de discussion.

Comment prévenir ce type d’attaque ?

Cela dépend si vous êtes en hébergement mutualisé ou dédié/VPS, ainsi que l’utilisation ou non d’un CMS.

Dans le cas d’un hébergement dédié ou d’un VPS, vous pouvez ajouter des directives directement dans le fichier de configuration d’Apache pour interdire l’exécution de fichiers PHP dans un répertoire donné.

Sinon, si vous êtes en mutualisé, cela va aller selon votre contexte :

Utilisation d’un .htaccess

Si vous utilisez un CMS ou que les changements à apporter sur votre script d’upload ne peuvent pas être mis en ligne rapidement, vous pouvez créer un fichier .htaccess où vous y collerez les directives suivantes (merci à Willy de Servhome) :

<Files ~ "^.*\.(cgi|pl|php[3-5]{0,1}|shtm?l?|aspx?|cfml?|jsp?)$">
order allow,deny
deny from all
</Files>

Enregistrez-le puis placez-le directement dans le répertoire d’upload de votre site.
Ces directives ont l’avantage de filtrer de façon récursive dans un dossier contenant d’autres dossiers, comme c’est le cas des sites WordPress par exemple.

Même si vous avez codé votre site à la main, vous aurez au moins l’esprit plus tranquille en attendant de pouvoir retravailler votre code.

Sécuriser son code PHP

Quand le script de traitement des uploads est bien fait, il n’y a pas de risque qu’un fichier de type image.png\.php passe entre les mailles, même avec un plugin.

Pour cela, je vous invite à lire cette doc du site Commenc Ça Marche sur les erreurs de sécurité fréquentes en PHP : Erreurs courantes en PHP.

Dans le cas d’un CMS, vous pouvez toujours aller demander sur le forum de support pour savoir si le traitement des images envoyées est sécurisé contre ce type d’intrusion.

Mise à jour urgente de WordPress

Jeudi 30 décembre 2010

Jusqu’à aujourd’hui, ce blogue utilisait encore une version 2.9.x de WordPress. Mais après être tombée sur ce sujet posté par l’un des admins de Servhome, une petite recherche m’a permise de tomber sur l’article Sortie en urgence de WordPress 3.0.4 qui annonce qu’une mise à jour vient d’être sortie en urgence pour corriger une faille XSS critique découverte récemment.

En sachant qu’il y eu récemment des attaques contre des sites tournant sous WordPress, tout en ne sachant pas si la branche 2.9.x était concernée par la faille, je me suis dit que ce n’est pas parce que je touche du bois jusqu’à maintenant que je suis à l’abri. J’ai donc fait la mise à jour ce soir, pour passer le blogue à WordPress 3.0.4. J’ai commencé par le faire sur ma copie locale, pour voir que mon thème personnalisé passe sans problème, avant de le faire sur la copie en ligne.

Au moment de la mise à jour de la copie en ligne, j’étais passée proche de faire une gaffe quand je m’étais rendue compte que j’avais supprimé les fichier à remplacer sans avoir désactivé mes extensions. Heureusement, j’avais fait une sauvegarde des fichiers juste avant, donc j’ai tout bonnement ré-uploadé les fichiers pour pouvoir désactiver mes deux extensions antispam le temps de la mise à jour.

Et en passant, WP-spamfree semble fonctionner sans problème sous la 3.0.4 même si ça dit que ça n’a pas été testé avec la branche 3.0, Theriault me l’a d’ailleurs confirmé par MSN.

Phishing Visa – Ne tombez pas dans leur piège !

Mardi 27 juillet 2010

En regardant dans ma boîte gmail, je découvre un courriel prétendant venir de Visa, alors que je n’ai pas de carte Visa. Une faute dans le titre m’a tout de suite fait deviner qu’il s’agissait d’une fraude.

Je vous montre la capture du message en question, vous n’avez qu’à cliquer pour l’agrandir

Capture montrant le courriel frauduleux

Vous pouvez constater que la traduction est assez boiteuse. Juste dans le titre, on peut voir un accent oublié dans le mot « Protéger ». Ensuite, dans le corps du message, une faute d’accord de nombre qui me saute aux yeux : « Notre équipe de sécurité ont constaté ».
Tout de suite après, dans la même phrase, une mauvaise traduction et une faute d’accord du genre : que votre carte a été toujours utilisé sans votre permission »
Dans la phrase après, une double faute de ponctuation, un verbe mal conjugué puis encore un accent oublié : « Ainsi, il est verrouillé, Nous attend votre reponse
On pourrait aussi y compter une autres faute d’accord du nombre dans la première partie, dépendamment si on parle du compte (masculin) ou de la carte (féminin).

Juste ces fautes que j’ai relevées sont assez éloquentes et trahissent assez vite l’arnaque derrière ce message ! Mais malheureusement, il y en a qui ont visiblement tellement la tête en l’air qu’ils se font quand même avoir !

De plus, les pirates ont bien pris soin de cacher la véritable adresse derrière un texte.
Voici d’ailleurs l’adresse mise à nu : http://user27557.vs.easily.co.uk/Verified.Par.Visa/fr/SSLsecure/0x2er___/index/

Comment j’ai fait ?

Si vous utilisez un navigateur autre que Firefox, ou que vous utilisez une version de Firefox antérieure à 3.6, vous n’avez qu’à cliquer droit sur le lien > Propriétés et voilà l’adresse pirate trahie dans la fenêtre qui s’ouvre ! Si vous utilisez Firefox 3.6, soit vous installez l’extension Element Properties, soit vous cliquez-droit > Copier l’adresse du lien, pour ensuite la coller dans le bloc-notes pour découvrir le pot aux roses dont il est fortement probable qu’il s’agisse d’un site légitime qui a été piraté à des fins d’activités frauduleuses !

Je vous rappelle que quelle que soit l’institution bancaire, elles possèdent déjà vos coordonnées et elles ne vous les demanderont jamais par courriel !. On ne le dit jamais assez, puisque les vols d’identité continuent de progresser, et il faut donc continuer à sensibiliser les internautes pour ne pas qu’ils se retrouvent avec une très mauvaise surprise à l’aube de leurs vacances ou de la rentrée, ou des Fêtes !

Je termine ce billet en vous invitant à aller lire ces liens en rapport avec la sécurité de vos données sur les deux blogues que je suis régulièrement, pour en connaître davantage sur les dangers qui guettent l’internaute, quel que soit son OS :

MAJ le 08/08/10 : Un tutoriel « à partir de zéro » vient d’être publié sur le Site du zéro, où tout est expliqué au sujet du phishing, je vous recommande donc fortement de le lire !
» Ne pas se laisser avoir par le phishing