Fichiers exécutés par PHP peu importe l'extension
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
Question

Fichiers exécutés par PHP peu importe l'extension

O
Par
Opi
Créé le 2018-05-15 12:42:53 (edited on 2024-09-04 11:04:19) dans Hébergements Web

Bonjour,
Je viens de remarquer que n'importe quel fichier qui contiendrait ".php" à l'intérieur de son nom se retrouve exécuté par PHP quoi qu'il en soit.
Par exemple un fichier "document.php.tableur.xls" sera interprété par PHP et s'il contient du code il sera exécuté.

De nombreux outils PHP se basent sur la dernière extension pour invalider des fichiers et il me semble assez risqué d'avoir ce fonctionnement.

Est-ce volontaire ?
Est-il possible de modifier ce fonctionnement ?

Merci,
Avis positifs (0)
969 Vues
9 réponses ( Latest reply on 2018-05-15 16:30:13 Par
kingkurt
)
K

Question : pourquoi nommer vous des fichiers de cette façon ?
Utile (0)
O

> Question : pourquoi nommer vous des fichiers de cette façon ?

Là n'est pas la question.
Il s'agit d'un nom de fichier tout à fait valide et n'importe qui pourrait appeler un fichier test.php.doc et le mette en ligne via un cms ou autre outil hébergé sur n'importe quel compte OVH en y incluant un script malveillant.
L'outil enregistrerait le fichier voyant une extension autorisée ".doc", mais le fichier serait exécuté et permettrait d'effectuer des actions malveillantes sur le serveur.
Utile (0)
B

Je pense que les mutualisés OVH sont configurés pour exécuter les fichiers .php*... (certains nomment leurs fichiers .php4 .php5 et etc...
Le réglage ne doit pas pouvoir être fait à votre niveau..
Utile (0)
K

Je viens de tester par pur curiosité. Si on renomme un fichier .jpg alors une image p.ex. `image.php.quelquechose.jpg` l'image est interprété normalement en tant que jpg.
Après d'uploader ou de permettre de uploader un fichier Excel ou Word avec un nom peu habituel ça doit être possible de votre coté de l'empêcher facilement
Utile (0)
O


Je viens de tester par pur curiosité. Si on renomme un fichier .jpg alors une image p.ex. image.php.quelquechose.jpg l'image est interprété normalement en tant que jpg.

Oui car c'est un vrai jpeg, mais rien n'empêche d'y insérer du code PHP qui sera aussi exécuté, soit dans le fichier lui même soit dans les données EXIF.


Après d'uploader ou de permettre de uploader un fichier Excel ou Word avec un nom peu habituel ça doit être possible de votre coté de l'empêcher facilement

Oui mais c'est tout de même inquiétant d'avoir à le faire ... qui sait quelles autres combinaisons de nommage de fichier sont susceptibles de poser problème ...
Utile (0)
K

```text Mmh ça m'as un peu intrigué alors j'ai crée un fichier php avec Textwrangler avec le contenu
``
après j'ai renommé le fichier en test.php.hallo.doc et uploadé sur mon serveur
résultat quand j'appelle le fichier moniste.com/test.php.hallo.doc tous qui se passe est que le fichier test.php.hallo.doc est téléchargé mais pas exécuté dans le navigateur ```
Utile (0)
O

Et le fichier téléchargé contient le code PHP ou juste la phrase "alors ça donne quoi ?"
Utile (0)
J

Bonjour,

aussi la plupart des CMS sont protégé contre ce genre d'exploit vu que bien souvent il ce sont pris des CVE dans la tronche via ce genre de technique.

Cordialement, janus57
Utile (0)
K


Et le fichier téléchargé contient le code PHP ou juste la phrase "alors ça donne quoi ?"



le contenu du fichier est
`> `
C'est du code php
Utile (0)

Rejoindre la discussion