VictorVila
commented
10 months ago - [x] Victor ajoute l'audit de sécurité de l'ANCT
- [x] Victor ajoute la liste de corrections apportées
Closed syji35 closed 1 month ago
VictorVila
commented
10 months ago VictorVila
commented
10 months ago VictorVila
commented
10 months ago Pour information, Voici les corrections apportées au code suite au rapport ci-dessus.
| Script | Utilisé dans | Injections SQL | XSS via SQLi | Logs erreurs PHP | Logs console | Observations | |
|---|---|---|---|---|---|---|---|
| /data/getAcheteur.php | n/a | n/a | n/a | n/a | Les logs console ont été supprimés sur toute l'application | Non utilisé. Déplacé à _src | |
| /data/getAcheteurs.php | recherche | OK (POST) | htmlspecialchars() | error_reporting(0) | |||
| /data/getAcheteursJSON.php | n/a | n/a | n/a | n/a | Non utilisé. Déplacé à _src | ||
| /data/getCSVTreeMap.php | n/a | n/a | n/a | n/a | Non utilisé. Déplacé à _src | ||
| /data/getListAcheteurs.php | index | OK (GET) | htmlspecialchars() | error_reporting(0) | |||
| /data/getListAcheteursEtendue.php | acheteurs | n/a | htmlspecialchars() | error_reporting(0) | |||
| /data/getListTitulaires.php | index | OK (GET) | htmlspecialchars() | error_reporting(0) | |||
| /data/getListTitulairesEtendue.php | fournisseurs | n/a | htmlspecialchars() | error_reporting(0) | Suppression de guillemets car cassent le htmlspecialchars | ||
| /data/getMarche.php | n/a | OK (POST) | n/a | error_reporting(0) | Non utilisé. Déplacé à _src | ||
| /data/getMarcheJSON.php | acheteurs | OK (POST) | htmlspecialchars() | error_reporting(0) | |||
| /data/getRecherche.php | recherche | OK (POST) | htmlspecialchars() | error_reporting(0) | |||
| /data/getRecherche-group.php | recherche-plus | OK (POST) | htmlspecialchars() | error_reporting(0) | |||
| /data/getTitulaire.php | n/a | OK (POST) | htmlspecialchars() | error_reporting(0) | Non utilisé. Déplacé à _src | ||
| /data/getTitulaires.php | recherche | OK (POST) | htmlspecialchars() | error_reporting(0) | |||
| /data/getTypeMarche.php | index | OK (GET) | htmlspecialchars() | error_reporting(0) | |||
| /data/lieux.php | main.js | n/a | htmlspecialchars() | error_reporting(0) | Suppression commentaires inutiles | ||
| /data/lieuxCSV.php | main.js | n/a | htmlspecialchars() | error_reporting(0) | Suppression commentaires inutiles | ||
| /data/lieuxJson.php | main.js | n/a | htmlspecialchars() | error_reporting(0) | Suppression commentaires inutiles | ||
| /recherche.php | soi-même | n/a | n/a | via head.php | Suppression info UI concernant la recherche multiple de codes CPV et d'objets | ||
| /inc/head.php | soi-même | n/a | n/a | error_reporting(0) | Empêche l'affichage des erreurs PHP sur les pages hors API | ||
| /acheteur.php | soi-même | n/a | n/a | via head.php | |||
| /index.php | soi-même | n/a | n/a | via head.php | |||
| /acheteurs.php | soi-même | n/a | n/a | via head.php | |||
| /inc/plotly-layouts-fonctions.php | tout le front | n/a | n/a | via head.php | |||
| /js/recherche.php | soi-même | n/a | n/a | via head.php | |||
| /js/recherche-plus.php | soi-même | n/a | n/a | via head.php | |||
| /territoire.php | soi-même | n/a | n/a | via head.php | |||
| /titulaire.php | soi-même | n/a | n/a | via head.php | |||
| /titulaires.php | soi-même | n/a | n/a | via head.php | |||
| /widget-acheteur-distrib-temporelle.php | soi-même | n/a | n/a | via head.php | |||
| /widget-acheteur-qui-realise.php | soi-même | n/a | n/a | via head.php | |||
| /widget-acheteur-tous-marches.php | soi-même | n/a | n/a | via head.php |
Suite à l'analyse de code avec codacy, retirer dans les fichiers PHP l'utilisation des $_GET.
Pour corriger, préférer l'utilisation de filter-input