Fixed vulnerability on ajax file upload.

wakdev / slash-cms

CMS Systems

GNU General Public License v3.0

5 stars 5 forks source link

Fixed vulnerability on ajax file upload. #33

Closed lowki closed 11 years ago

wakdev commented 11 years ago

Le plugin est utilisé pour d'autres types de fichiers (doc, xls, etc...) Voir pour récupérer la restriction déclaré au niveau de sl_form->sl-attachment Tu sais le "jpg|png|gif".

lowki commented 11 years ago

Bonne idée, mais comment récupérer ça via un formulaire sans risque de spoof?

Le 26 mars 2013 11:19, wakdev notifications@github.com a écrit :

Le plugin est utilisé pour d'autres types de fichiers (doc, xls, etc...) Voir pour récupérer la restriction déclaré au niveau de sl_form->sl-attachment Tu sais le "jpg|png|gif".

— Reply to this email directly or view it on GitHubhttps://github.com/wakdev/slash-cms/pull/33#issuecomment-15450317 .

Loïc BAJARD 53 rue Faubourg Madeleine, 21200 Beaune 09 52 44 06 25 06 84 56 95 57

wakdev commented 11 years ago

Après c'est limité déjà a un utilisateur log à l'administration, ce qui restreint pas mal déjà. Mais éventuellement on peux passer en session la liste autorisé : $options["accept"] lorsque tu déclare le champ sl_attachement dans sl_form.

genre $_SESSION['sl_ajax_upload'][$id_module][$id_field]['options'] = $options. Ce qui permettrai aussi de passer des valeurs pour des redimensionnements d'images ou d'autres opérations à la volées sur des fichiers.

wakdev commented 11 years ago

Je vois que tu n'as pas mis à jour ton fork. J'ai ajouté une vérification sur les deux fichiers ajax_upload pour vérifier l'utilisateur avant d'upload.

lowki commented 11 years ago

Zut, j'ai pourtant fais un merge.

wakdev commented 11 years ago

J'ai été obligé de rollback.

le code dans slash.php : mysqli::escape_string($params); retourne une erreur (appel statique)
Idem pour le code >>>>>>> upstream/master (ton code est en conflit avec mes modifications)
Dans le ajax_upload : Partie // Check file type, voir notre discussion à ce sujet
Je vois pour placer le htaccess

wakdev commented 11 years ago

Le htaccess empêche l'administrateur de visualisé la miniature de sa photo lors de l'upload (sur un nouvel enregistrement).

wakdev commented 11 years ago

Pull Request FAIL... Mdr ;)

lowki commented 11 years ago

Oui je savais, je ne pensais pas l'avoir inclus dans le pull, j'ai encore un peu de mal avec git.

2013/3/26 wakdev notifications@github.com

Pull Request FAIL... Mdr ;)

— Reply to this email directly or view it on GitHubhttps://github.com/wakdev/slash-cms/pull/33#issuecomment-15474348 .

Loïc BAJARD 53 rue Faubourg Madeleine, 21200 Beaune 09 52 44 06 25 06 84 56 95 57