Une image PHP en avatar

BN · 29-08-2006 11:06:19

Bonjour, bonjour,

En ce moment je m'éclate à créer des images qui changent à chaque actualisation, grâce à PHP (cf : ma signature^^)
Sur PunBB, on ne peut pas mettre une telle image en avatar, car l'uploadeur d'avatar n'accepte pas le .php. Mais c'est modifiable dans le fichier source.

Cela dit, via PHP, on peut faire pleins de choses... Des choses par très glop y compris. Mais voilà, j'me suis jamais entrainé à être un pirate, donc je me demande si, concrêtement, ça peut être dangeureux d'autoriser les images en PHP en avatar ou pas ? (vu qu'elles sont acceptés dans les signatures de toute façon...) Qu'est ce que pourrait récupérer une personne mal intentionnée ? Qu'est-ce qu'il pourrait afficher ?

Je sais pas si quelqu'un aurait une idée et voudrait bien m'éclairer... ? smile

**C'était : La question BNique du jour tongue **

vin100 · 29-08-2006 11:09:58

salut, salut,

qu'est-ce que quelqu'un de malintentionné pourrait faire ? hum au pif comme ça : mettre un script PHP qui génère un javascript pour récuperer le cookie de l'administrateur

BN · 29-08-2006 11:26:32

Génant tongue

Donc ça veut dire que l'image de ma signature est dangeureuse ? Vu que c'est une image généré en PHP... Arf...
Mais sur une image généré en PHP (donc avec un header [c]("Content-type: image/gif");[/c]) on peut aussi générer un script JS en même temps ? huh

vin100 · 29-08-2006 11:42:15

après je parle de choses que je ne connais pas, j'ai dit ça comme ça, mais je ne sais pas comment ça marche exactement

Domos · 29-08-2006 13:58:39

vin100 a écrit :

salut, salut,
qu'est-ce que quelqu'un de malintentionné pourrait faire ? hum au pif comme ça : mettre un script PHP qui génère un javascript pour récuperer le cookie de l'administrateur

Pire : faire un include ('config.php') et echo ('variables_serveur...')

BN · 29-08-2006 14:33:30

Pire : faire un include ('config.php') et echo ('variables_serveur...')

Ouais... bah il faut me montrer comment faire alors...
J'ai fait les test, sur un serveur béta, et sur mon serveur et j'ai pas réussi... Même en créant un fichier test.php avec juste :

<?php
$test = 'test';
?>

J'ai pas pu récupérer la variable $test pour l'afficher sur l'image.

A la fois, j'me dis que des images générés en PHP on peut en afficher depuis la nuit des temps sur les forums () et j'ai vu des sites ou c'était autoriser dans les avatars. Donc, logiquement, ça se saurait si on pouvait pirater un site grâce à ça, non ? hmm

Dernière modification par BN (29-08-2006 14:33:51)

Domos · 29-08-2006 14:38:37

<?php

include ('../../config.php');

echo ($db_host);
echo ($db_name);
echo ($db_username);
echo ($db_password);
echo ($db_prefix);

//Surprise !!!!! ?>

Ensuite tu vas dans http://www.la-bnbox.info/baranougat/img/avatar/2.php

Et là surprise !!!!

Dernière modification par Domos (29-08-2006 14:45:50)

tvcircus · 29-08-2006 14:44:24

ou alors

<?php

echo file_get_contents('../../config.php');
?>

Dernière modification par tvcircus (29-08-2006 14:45:03)

Domos · 29-08-2006 14:47:38

Merci je ne connaissais pas cette fonction.

BN · 29-08-2006 15:09:50

huh

Heu ça marche pas comme ça les images générés en PHP happy Le fichier PHP devient une image ! On en change le header (pour rappel happy ) donc on ne peut pas faire un echo !!
On peut écrire le résultat sur l'image, ça, oui... Mis vu que, visiblemement, on ne peut includer des pages...

tvcircus · 29-08-2006 15:18:48

BN,
tu autorises l'upload de fichier php, oui ou non ?
si oui, rien n'interdit à un membre d'"oublier" de changer le header.

et d'aller directement à la page http://www.la-bnbox.info/baranougat/img/avatar/2.php

plutot que de regarder le resultat de <img src="http://www.la-bnbox.info/baranougat/img/avatar/2.php" sur le forum.

Donne l'adresse d'un serveur de test et on va essayer de voir ce qu'on peut faire avec wink

mangafan · 29-08-2006 15:34:25

Salut,

Les images générés en php, si tout le monde le fait sur ton forum, il va morfler en ressources.

Après pour la sécu, c'est sûr que si tu laisses les utilisateurs envoyer leurs scripts sur ton serveur, tu vas fermer très vite.

Sinon si les images sont sur leurs serveurs à eux tu risques rien pas grand chose mais à ce moment là, tu n'as plus à te prendre la tête pour eux..

Sinon tu peux leur proposer d'uploader un fond d'avatar et leur proposer une option pour que des choses se fassent toutes seules sur leurs binoches mais les ressources...

Dernière modification par mangafan (29-08-2006 15:34:58)

BN · 29-08-2006 15:45:23

Arf, oui, en effet ! J'étais pas dans cet optique la, mais c'est tout à fait... logique smile
Humpf, voilà qui est bien dommage. Il faudrait protéger le dossier des avatars avec un .htaccess pour qu'on ne puisse y accèder... Mais c'est s'embêter beaucoup pour pas grand chose m'est avis. (d'autant plus que je n'ai pas réussi à faire accepter les fichiers PHP tongue C'est bien 'text/php' leur appelation pourtant ?? Enfin bon...)

Merci de m'avoir ... ouvert les yeux !

EDIT suite au message de mangafan : Pas bête tes solutions^^ Enfin, autant, permettre aux visiteurs de générer leurs propres images en PHP (pour ceux qui savent le faire) c'est sympa... autant, créer un module pour ça sur le forum, c'est moins... enfin j'aime moins quoi !!
Mais merci quand même pour les idées smile

Dernière modification par BN (29-08-2006 15:48:33)

Domos · 29-08-2006 15:55:18

Si tu met un .htaccess personne ne pourra voir les avatrs de personne comme il seront protégé wink

tvcircus · 29-08-2006 16:08:19

si c'est possible. En s'inspirant du code d'un anti-hotlink (un .htaccess à base de RewriteCond sur le HTTP_REFERER), on peut empécher l'accès direct et/ou depuis un site extérieur, je pense.

mais de toute façon, ça ne change rien. Je suis persuadé qu'on peut faire beaucoup de dégats même avec cette petite sécurité.

Dernière modification par tvcircus (29-08-2006 16:09:54)

Domos · 29-08-2006 16:22:28

Et puis avec Opéra je peux modifier le HTTP_REFERER et toutes manière à partir du moent où o peut uploader du PHP cela est mauvais signe...

Archives FluxBB.fr

#1 29-08-2006 11:06:19

Une image PHP en avatar

#2 29-08-2006 11:09:58

Re : Une image PHP en avatar

#3 29-08-2006 11:26:32

Re : Une image PHP en avatar

#4 29-08-2006 11:42:15

Re : Une image PHP en avatar

#5 29-08-2006 13:58:39

Re : Une image PHP en avatar

#6 29-08-2006 14:33:30

Re : Une image PHP en avatar

#7 29-08-2006 14:38:37

Re : Une image PHP en avatar

#8 29-08-2006 14:44:24

Re : Une image PHP en avatar

#9 29-08-2006 14:47:38

Re : Une image PHP en avatar

#10 29-08-2006 15:09:50

Re : Une image PHP en avatar

#11 29-08-2006 15:18:48

Re : Une image PHP en avatar

#12 29-08-2006 15:34:25

Re : Une image PHP en avatar

#13 29-08-2006 15:45:23

Re : Une image PHP en avatar

#14 29-08-2006 15:55:18

Re : Une image PHP en avatar

#15 29-08-2006 16:08:19

Re : Une image PHP en avatar

#16 29-08-2006 16:22:28

Re : Une image PHP en avatar

Pied de page des forums