Lors de la livraison d'un serveur WEB (WAMP) à mon hébergeur, ce
dernier a passé l'ensemble de mes scripts php, à un scanneur de
failles de sécurité (surement un outil professionnel payant). Ce
dernier a d'ailleurs relevé quelques anomalies. Existe-t'il de tels
outils libres pour les quidams comme moi ?
Lors de la livraison d'un serveur WEB (WAMP) à mon hébergeur, ce
dernier a passé l'ensemble de mes scripts php, à un scanneur de
failles de sécurité (surement un outil professionnel payant). Ce
dernier a d'ailleurs relevé quelques anomalies. Existe-t'il de tels
outils libres pour les quidams comme moi ?
Lors de la livraison d'un serveur WEB (WAMP) à mon hébergeur, ce
dernier a passé l'ensemble de mes scripts php, à un scanneur de
failles de sécurité (surement un outil professionnel payant). Ce
dernier a d'ailleurs relevé quelques anomalies. Existe-t'il de tels
outils libres pour les quidams comme moi ?
Si ce n'est déjà fait, je pense qu'une question dans
fr.comp.securite aurait plus de chance d'avoir des réponses.
Maintenant soyons réalistes: si ce genre de trucs fonctionnaient,
il n'y aurait plus de failles, or c'est loin d'être le cas. A part
un audit (en particulier du code source, plutôt qu'en aveugle), je
ne connais pas grand chose de fiable. Si je reprends rapidement
les grandes catégories de failles que j'avais répertoriées, je ne
vois pas trop comment les détecter automatiquement (au hasard, une
XSS stockée via la partie publique qui s'active dans la partie
d'admin...).
Pour ma culture perso, je serais curieux de savoir quel genre
"d'anomalies" ça peut bien trouver.
Si ce n'est déjà fait, je pense qu'une question dans
fr.comp.securite aurait plus de chance d'avoir des réponses.
Maintenant soyons réalistes: si ce genre de trucs fonctionnaient,
il n'y aurait plus de failles, or c'est loin d'être le cas. A part
un audit (en particulier du code source, plutôt qu'en aveugle), je
ne connais pas grand chose de fiable. Si je reprends rapidement
les grandes catégories de failles que j'avais répertoriées, je ne
vois pas trop comment les détecter automatiquement (au hasard, une
XSS stockée via la partie publique qui s'active dans la partie
d'admin...).
Pour ma culture perso, je serais curieux de savoir quel genre
"d'anomalies" ça peut bien trouver.
Si ce n'est déjà fait, je pense qu'une question dans
fr.comp.securite aurait plus de chance d'avoir des réponses.
Maintenant soyons réalistes: si ce genre de trucs fonctionnaient,
il n'y aurait plus de failles, or c'est loin d'être le cas. A part
un audit (en particulier du code source, plutôt qu'en aveugle), je
ne connais pas grand chose de fiable. Si je reprends rapidement
les grandes catégories de failles que j'avais répertoriées, je ne
vois pas trop comment les détecter automatiquement (au hasard, une
XSS stockée via la partie publique qui s'active dans la partie
d'admin...).
Pour ma culture perso, je serais curieux de savoir quel genre
"d'anomalies" ça peut bien trouver.
20:32:02, écrivait ceci:
20:32:02, écrivait ceci:
20:32:02, écrivait ceci:
20:32:02, écrivait ceci:
Mime ?
20:32:02, écrivait ceci:
Mime ?
20:32:02, écrivait ceci:
Mime ?
Si ce n'est déjà fait, je pense qu'une question dans
fr.comp.securite aurait plus de chance d'avoir des réponses.
J'y avais pensé, mais ce sont bien les erreurs de programmation en php
qui m'interesse.
De la même façon que les antivirus, ils ne sont "efficaces" que pour la
détection des signatures connues.
Ou bien comme les sites de controle w3c.
Il existe aussi des programmes pour script kiddies, clé en main,
qui recherchent les anomalies de configurations....
Il me semble qu'il avait détecté, entre autre, la possibilité
d'injecter un texte dans une variable de session qui désignait le nom
d'un fichier log.
En fait, au vu des réponses, je crois qu'il ne reste que la méthode
classique : utiliser des listes de failles (t'as pas ta liste sous le
coude par hasard ? :-) ), et vérifier si elles s'appliquent.
Si ce n'est déjà fait, je pense qu'une question dans
fr.comp.securite aurait plus de chance d'avoir des réponses.
J'y avais pensé, mais ce sont bien les erreurs de programmation en php
qui m'interesse.
De la même façon que les antivirus, ils ne sont "efficaces" que pour la
détection des signatures connues.
Ou bien comme les sites de controle w3c.
Il existe aussi des programmes pour script kiddies, clé en main,
qui recherchent les anomalies de configurations....
Il me semble qu'il avait détecté, entre autre, la possibilité
d'injecter un texte dans une variable de session qui désignait le nom
d'un fichier log.
En fait, au vu des réponses, je crois qu'il ne reste que la méthode
classique : utiliser des listes de failles (t'as pas ta liste sous le
coude par hasard ? :-) ), et vérifier si elles s'appliquent.
Si ce n'est déjà fait, je pense qu'une question dans
fr.comp.securite aurait plus de chance d'avoir des réponses.
J'y avais pensé, mais ce sont bien les erreurs de programmation en php
qui m'interesse.
De la même façon que les antivirus, ils ne sont "efficaces" que pour la
détection des signatures connues.
Ou bien comme les sites de controle w3c.
Il existe aussi des programmes pour script kiddies, clé en main,
qui recherchent les anomalies de configurations....
Il me semble qu'il avait détecté, entre autre, la possibilité
d'injecter un texte dans une variable de session qui désignait le nom
d'un fichier log.
En fait, au vu des réponses, je crois qu'il ne reste que la méthode
classique : utiliser des listes de failles (t'as pas ta liste sous le
coude par hasard ? :-) ), et vérifier si elles s'appliquent.
Je ne connais pas d'analyseur automatique de code php, seulement
des scanneurs qui testent le comportement de l'application.
De la même façon que les antivirus, ils ne sont "efficaces" que
pour la détection des signatures connues.
J'ai du mal à voir ce que peut bien être une "signature" dans du
code source.
Pour avoir essayé moi même de faire des recherches
systématisées lors de certains audits (récemment, un paquet de
m***e de plus de 2500 fichiers écrit via MXKart, le soft
d'Interakt, plugin générateur de code pour Dreamweaver), je pense
qu'on peut écrire un programme qui va vérifier les injections
possibles de variables dans les chemins des includes (ce type de
truc génère des milliers d'include dynamiques, dans des boucles,
un vrai bohneur), c'est uniquement suivre la source de la donnée.
On peut aussi avoir un signal d'alarme sur des fonctions
"dangereuses" du genre exec/system ou import_request_variables,
mais à part ça...
J'ai écrit une petite galerie des horreurs dans un PDF dispo sur
http://www.saphirtech.fr/securite.html
Ca date un peu, mais je n'ai rien vu de révolutionnaire arriver
depuis concernant PHP en lui même. On peut ajouter des choses
dangereures côté client (les PDF dans la liste des fichiers
dangereux à accepter en upload par exemples, avec leur cochonnerie
de JS embarqué) mais je n'ai rien vu de radicalement différent
côté serveur. Bien entendu, le paragraphe sur "c'est valide grâce
à javascript" est encore plus vrai avec "ajax".
Des papiers commencent à circuler sur les nouvelles conneries
liées au stockage côté client de html 5, et ça va être rigolo
probablement, mais pour le moment on y est pas encore.
Je ne connais pas d'analyseur automatique de code php, seulement
des scanneurs qui testent le comportement de l'application.
De la même façon que les antivirus, ils ne sont "efficaces" que
pour la détection des signatures connues.
J'ai du mal à voir ce que peut bien être une "signature" dans du
code source.
Pour avoir essayé moi même de faire des recherches
systématisées lors de certains audits (récemment, un paquet de
m***e de plus de 2500 fichiers écrit via MXKart, le soft
d'Interakt, plugin générateur de code pour Dreamweaver), je pense
qu'on peut écrire un programme qui va vérifier les injections
possibles de variables dans les chemins des includes (ce type de
truc génère des milliers d'include dynamiques, dans des boucles,
un vrai bohneur), c'est uniquement suivre la source de la donnée.
On peut aussi avoir un signal d'alarme sur des fonctions
"dangereuses" du genre exec/system ou import_request_variables,
mais à part ça...
J'ai écrit une petite galerie des horreurs dans un PDF dispo sur
http://www.saphirtech.fr/securite.html
Ca date un peu, mais je n'ai rien vu de révolutionnaire arriver
depuis concernant PHP en lui même. On peut ajouter des choses
dangereures côté client (les PDF dans la liste des fichiers
dangereux à accepter en upload par exemples, avec leur cochonnerie
de JS embarqué) mais je n'ai rien vu de radicalement différent
côté serveur. Bien entendu, le paragraphe sur "c'est valide grâce
à javascript" est encore plus vrai avec "ajax".
Des papiers commencent à circuler sur les nouvelles conneries
liées au stockage côté client de html 5, et ça va être rigolo
probablement, mais pour le moment on y est pas encore.
Je ne connais pas d'analyseur automatique de code php, seulement
des scanneurs qui testent le comportement de l'application.
De la même façon que les antivirus, ils ne sont "efficaces" que
pour la détection des signatures connues.
J'ai du mal à voir ce que peut bien être une "signature" dans du
code source.
Pour avoir essayé moi même de faire des recherches
systématisées lors de certains audits (récemment, un paquet de
m***e de plus de 2500 fichiers écrit via MXKart, le soft
d'Interakt, plugin générateur de code pour Dreamweaver), je pense
qu'on peut écrire un programme qui va vérifier les injections
possibles de variables dans les chemins des includes (ce type de
truc génère des milliers d'include dynamiques, dans des boucles,
un vrai bohneur), c'est uniquement suivre la source de la donnée.
On peut aussi avoir un signal d'alarme sur des fonctions
"dangereuses" du genre exec/system ou import_request_variables,
mais à part ça...
J'ai écrit une petite galerie des horreurs dans un PDF dispo sur
http://www.saphirtech.fr/securite.html
Ca date un peu, mais je n'ai rien vu de révolutionnaire arriver
depuis concernant PHP en lui même. On peut ajouter des choses
dangereures côté client (les PDF dans la liste des fichiers
dangereux à accepter en upload par exemples, avec leur cochonnerie
de JS embarqué) mais je n'ai rien vu de radicalement différent
côté serveur. Bien entendu, le paragraphe sur "c'est valide grâce
à javascript" est encore plus vrai avec "ajax".
Des papiers commencent à circuler sur les nouvelles conneries
liées au stockage côté client de html 5, et ça va être rigolo
probablement, mais pour le moment on y est pas encore.
En fait, tu as raison. C'est plus le principe du scan de comportement,
qui m'interesse. Je me suis donc mal exprimé. (d'ailleurs j'imagine un
scanneur qui regarderait certains de mes codes :-$ )
J'ai écrit une petite galerie des horreurs dans un PDF dispo sur
http://www.saphirtech.fr/securite.html
Oui. J'avais déjà vu cette page, et m'en était fortement inspiré, le
jour où l'on m'a mis un projet php dans les mains. Je profite que l'on
soit en "conversation" pour t'en remercier : je suis passé pour moins
profane que je l'était réellement :-).
En fait, tu as raison. C'est plus le principe du scan de comportement,
qui m'interesse. Je me suis donc mal exprimé. (d'ailleurs j'imagine un
scanneur qui regarderait certains de mes codes :-$ )
J'ai écrit une petite galerie des horreurs dans un PDF dispo sur
http://www.saphirtech.fr/securite.html
Oui. J'avais déjà vu cette page, et m'en était fortement inspiré, le
jour où l'on m'a mis un projet php dans les mains. Je profite que l'on
soit en "conversation" pour t'en remercier : je suis passé pour moins
profane que je l'était réellement :-).
En fait, tu as raison. C'est plus le principe du scan de comportement,
qui m'interesse. Je me suis donc mal exprimé. (d'ailleurs j'imagine un
scanneur qui regarderait certains de mes codes :-$ )
J'ai écrit une petite galerie des horreurs dans un PDF dispo sur
http://www.saphirtech.fr/securite.html
Oui. J'avais déjà vu cette page, et m'en était fortement inspiré, le
jour où l'on m'a mis un projet php dans les mains. Je profite que l'on
soit en "conversation" pour t'en remercier : je suis passé pour moins
profane que je l'était réellement :-).