[Résolu]Exécuter un jpg comme un php

[YoannOn59.]

Voilà, j'ai créer un script php qui permet defaire une image jpg avec votre ip. Mais le problème c'est qu'avec tout les forums, impossible de faire [ img]http://adresse/.ip.php[/img]. Donc j'aimerai savoir comme faire si je renomme ip.php en ip.jpg, pour que ip.jpg soit éxecuter comme un fichier php et ainsi être affiché sur les forums.

J'ai tenté le htaccess mais avec free y'a comme un problème, il me demande de télécharger le jpg...

AddType application/x-httpd-php .jpg

Comment qu'on fais alors ?

[theocrite]

La ligne que tu as mise devrait convenir, mais c'est mieux de la mettre dans le httpd.conf.

[savory]

Options +FollowSymlinks

RewriteEngine on

RewriteRule ^image.gif$ image.php [L]

[Nyro Xeo]

L'URL Rewriting chez Free est désactivé. Je sais pas si la solution proposée par savory fonctionne (flemme de tester ), mais sur un forum IPB, tu peux faire ça :

Par contre sur phpBB, ça fonctionnne pas :( À ce moment là, c'est bien l'URL Rewriting la solution (ou éventuellement celle de savory si elle fonctionne).

[zigomat]

ça ne marcherait pas en ajoutant un parametre ? Genre

http://adresse/ip.php?img=img.jpg même si le parametre ne sert à rien dans php ???

Marrant, j'essaie de t'envoyer une soluce et en postant le message je reçois le message d'erreur suivant :

Désolé, les pages dynamiques dans les tags ne sont pas autorisés

Donc, ça tombe à l'eau !

[YoannOn59.]

Aucune de vos solutions ne marchent...

[Arofarn]

Je dirais que c'est normale que cela ne marche pas: ce serais à mon avis une faille de sécurité importante pour les forum, non ?

[Nyro Xeo]

Je dirais que c'est normale que cela ne marche pas: ce serais à mon avis une faille de sécurité importante pour les forum, non ?

Pourquoi ?

[The Lootrophile]

On pourrait à travers une image piégée voir l'arborescence des fichiers, faire des drop_table, supprimer le forum..

[Nyro Xeo]

C'est une blague, j'espère ??

Si oui, je suis mdr

Si non, je suis inquiet... ^^

C'est absolument impossible ! Une image (même en PHP) n'est qu'une image ! Si on fait un , ça revient, dans la source, à faire un simple :

<img src="http://www.site.com/image.php#.png" alt="avatar" />

En gros, c'est qu'une image !

Par contre, si on upload une image PHP, là il peut peut-être y avoir un problème, mais je crois que de toute façon, lors d'un upload, c'est l'image elle-même qui est prise (pour être renommée dans le bon repertoire (en .jpg ou .png selon le type) )...

[The Lootrophile]

C'est une blague, j'espère ??

Si oui, je suis mdr

Si non, je suis inquiet... ^^

Ben, oui, c'est précisément pour ça que c'est impossible.

[savory]

La methode via l'url rewriting marche tres bien a condition d'avoir un httpd qui accepte les htaccess et qui a mod_rewrite d'activé.

Sinon une image ne peut pas etre utilisée pour pirater une machine quand elle est appelée telle quelle dans un <img src> ( mis a part les bug potentiels sur la heap des lib graphiques permettant de l'afficher je pense notament au dernier bug de gdi+ ).

Donc YoannOn59. change d'hebergeur :) pour un autre qui gere le mod_rewrite ou encore mieux heberge chez toi.

[Nyro Xeo]

Je viens de trouver une nouvelle méthode :

Ceci est un avatar aléatoire hébérgé chez free (free n'accepte pas les url rewriting). Cherchez l'astuce

© Nyro Xeo

[YoannOn59.]

Vas-y dit !

$tab=explode("/",$REQUEST_URI);

Ca serait pas avec un bout de code comme ca ?

[cedricpc]

Peut-être parce qu'il est sur online.fr ? :)

[YoannOn59.]

Peut-être parce qu'il est sur online.fr ? :)

Online, c'est le même que Free...

[cedricpc]

Ok autant pour moi :)

[Compte_supprime_49771]

Cherchez l'astuce

mod_rewrite est désactivé, mais mod_alias fonctionne?

[Edit: Je me souvenais plus, mais on peut pas régler d'aliases dans les .htaccess ^_^]

[savory]

http://nyro.xeo.online.fr/avatar.png/index.php

[Compte_supprime_49771]

http://nyro.xeo.online.fr/avatar.png/index.php

Nice lol ^_^

[YoannOn59.]

J'ai trouvé ! Il a créer un dossier avatar.phn et a glisser dedans le script php en l'appelant index.php... et mettre http://nyro.xeo.online.fr/avatar.png au lieu de http://nyro.xeo.online.fr/avatar.png/index.php... C'est pas con du tout ca !!!!

[cedricpc]

Et bah c'est encore bien ça niveau sécu... Mais c'est bon à savoir merci :)

[Compte_supprime_49771]

Et bah c'est encore bien ça niveau sécu... Mais c'est bon à savoir merci :)

Disons que théoriquement, ça devrait pas fonctionner, parce qu'il n'y a pas de slash à la fin de l'URL, et que le serveur qui heberge l'image est censé en attendre un, s'il doit aller voir un répertoire... mais vu que y'a énormément de personnes qui ne mettent pas le slash final pour aller voir des répertoires (dans des liens classiques), il y a des règles au niveau des serveurs (qui normallement, peuvent être modifiées) pour remplacer les url de type http://example.org/test par http://example.org/test/ si 'test' est un répertoire ^_^

Il est clair que niveau sécurité, c'est pas génial La solution, dans un forum, est d'interdire tout lien exterieur pour les images... (upload sur le serveur des avatars et signatures) et puis genre une autorisation de liens vers certains services d'hébergement d'images, pour quand y'a besoin de poster des screenshots ou images quelconques... (ou posibilité d'upload sur le serveur de toutes les images, mais ça peut finir par prendre pas mal de place)

[YoannOn59.]

Disons que théoriquement, ça devrait pas fonctionner, parce qu'il n'y a pas de slash à la fin de l'URL, et que le serveur qui heberge l'image est censé en attendre un, s'il doit aller voir un répertoire... mais vu que y'a énormément de personnes qui ne mettent pas le slash final pour aller voir des répertoires (dans des liens classiques), il y a des règles au niveau des serveurs (qui normallement, peuvent être modifiées) pour remplacer les url de type http://example.org/test par http://example.org/test/ si 'test' est un répertoire ^_^

Il est clair que niveau sécurité, c'est pas génial La solution, dans un forum, est d'interdire tout lien exterieur pour les images... (upload sur le serveur des avatars et signatures) et puis genre une autorisation de liens vers certains services d'hébergement d'images, pour quand y'a besoin de poster des screenshots ou images quelconques... (ou posibilité d'upload sur le serveur de toutes les images, mais ça peut finir par prendre pas mal de place)

Tu crois vraiment qu'un forum peut se faire pirater grâce à un simple <img src> ? Ton navigateur va chercher l'image qui se situe sur le serveur ou le script est stocké et c'est non pas le forum qui va chercher l'image !!!

Peut-être que je me trompe ?

[Compte_supprime_49771]

Tu crois vraiment qu'un forum peut se faire pirater grâce à un simple <img src> ? Ton navigateur va chercher l'image qui se situe sur le serveur ou le script est stocké et c'est non pas le forum qui va chercher l'image !!!

Peut-être que je me trompe ?

Je parle pas de piratage direct, je parle de problèmes quand on veut contrôler le contenu inclus sur le forum (à cause des risques de récupération d'informations par n'importe qui, de l'IP des lecteurs... si tu regardes tes logs de serveur web, en même temps que le forum, tu peux même associer IP et pseudonyme...) Enfin sur ce forum, ça change rien, puisqu'on peut inclure des images exterieures dans les posts... mais sur des forums un peu plus sensibles, ça peut rapidement devenir dangereux...