[Serialtueur]

Bonjour, j'ai une question a vous poser d'un point de vue technique :
L'addon firefox "Tamper Data" permet de modifier les données envoyées a une page (POST, GET, et autres comme Naviguateur, URL de provenance).

Mais j'ai une question à propos des données envoyées avec POST : Prenons l'exemple concret d'une image à uploader. On envoie un fichier PHP : Erreur. On envoie un fichier PNG puis avec tamper data on  modifie les données POST immédiatement pour qu'il pointe sur le fichier PHP : ça marche.

Mais pourtant, que ce soit en altérant les données ou pas, le serveur reçoit quand même le même fichier à la fin ... Pourquoi le fait de changer les données au moment de l'envoi trompe t'il le serveur ?

[hisoka69]

Je dirai simplement qu'un ordinateur ce n'est pas un être intelligent.... Si tu lui dis que le ficher c'est une image à la place d'un fichier texte... bah il le prend... Il ne va pas faire un cas de conscience derrière...

Après c'est une question de filtre du script du serveur qui doit être pertinent... Voir les épreuves "upload" de la catégorie "hacking" pour plus de précision.

En tout cas c'est un très bon addon mais un script php fait aussi bien l'affaire voir mieux si vous avez un ordinateur capricieux.

J'ai démontré récemment à l'un de mes élèves qu'il était possible de mettre une backdoor sur son site grâce à ce genre de faille. Il suffisait de passer l'urlencode et le filtre sur les extensions...
Le script qu'il utilisait est présent sur de nombreux site traitant de l'upload...

[Serialtueur]

Ce que je comprends pas, c'est que la vérification (pour savoir si c'est un fichier PNG ou pas) est en pHp, donc coté serveur. Mais quand on altère les données, on modifie ce qu'on envoie, et c'est APRES que le serveur vérifie, donc il devrait refuser ..

Schéma de "pourquoi je comprends pas":

formulaire : envoi d'un fichier php => Données "POST" (fichier toujours php) => Serveur => le serveur renvoie "Faux" car le fichier est un php

formulaire : envoi d'un fichier png => Données "POST" (fichier toujours png) => Tamper Data (fichier passe en php) => Données "POST" modifiées (fichier toujours php) => Serveur => Le serveur renvoie "Vrai" alors que le fichier est un php

[harvey]

Bonjour,
(...)
Compare en détail ce que tu envoies dans l'un et l'autre cas, tu comprendras où est le noeud du problème (ce que le serveur vérifie ou pas).
Sinon, cette question aurait plus sa place dans la section afterwards, il me semble (étoile rouge depuis les pages des épreuves).

***
Quand-est-ce que j'aurais enfin un beau post pas édité, moi, hein ?

[Serialtueur]

Ben justement, dans les deux cas au final le serveur reçoit quand même un fichier php, même si il est passé par une étape différente, et pourtant il accepte le fichier php qu'on a envoyé avec tamper data

[harvey]

Tu fais erreur, me semble-t-il, sur ce que tu crois envoyer.

TOUT ce que tu envoies est visible (et lisible) dans tamper data. Il n'y a rien qui "pointe" vers quoi quoi que ce soit. Fais un copier-coller des données dans un éditeur de texte si le champ dans lequel elles apparaissent est trop petit pour tout voir, et analyse ça sans a priori. Ou bien utilise un sniffeur de traffic (comme wireshark) avec un filtre "http".

Si je comprends bien ce que tu as fait, ça n'aurait servi à rien sur un vrai site, mais l'épreuve est simulée. Cherche des tutos sur la faille en question pour savoir ce que tu "aurais du" faire. Ce que tu en dis permet de la valider sans la comprendre, ce qui est un peu dommage.

[Treea]

Le fait est que tu changes quel fichier sera envoyé au serveur, mais tu gardes le type mime du type image/png.
Je pense

Si tu envois du PHP sans tamper data, le type mime est je ne sais plus quoi. Le site est mal protégé.

[the lsd]

Bon on va arrêter là pour les explications en public, je pense que le mieux est de continuer sur l'afterward de Upload 2, qui est plus indiqué pour cette question

Enjoy

The lsd