Sécurité Jquery modal login => Ajax [Résolu]

kcin · 24/02/2011, 11h02

Bonjour,

Voilà, sur un développement de site avec système de login, je pensais mettre en place une modal login basique avec traitement Ajax, histoire d'éviter les reload de page...

Or, un ami m'a fait la remarque que ce système a une faille assez importante. Et j'aurais aimé savoir si il y avait une parade pour éviter çà tout en gardant le principe de fonctionnement mentionné plus haut.

A l'arrivée sur le site, la modal apparait avec les champs login pass. En validant, çà envoi ces informations en ajax sur une page afin de savoir si le login et le pass sont correct. Est retourné ensuite une ou plusieurs valeurs. En fonction de ces valeurs soit çà affiche un message d'erreur soit la modal disparait pour laisser l'accès au site.

La faille serait, avec l'aide d'outils genre firebug, que la personne malveillante modifie le code jquery en y introduisant un dictionnaire de mot de passe ( par exemple ) afin d'accéder au site. C'est une faille quand même assez importante, et j'aurais voulu avoir vos avis car avec tous les scripts modal login proposés sur internet, il doit bien y avoir une parade.

Voilà, a vous.

Merci.

pi-2r · 24/02/2011, 19h54

Bonsoir,

j'ai été moi même dans le même embarras que toi lors du développement d'un de mes projets. A l'heure actuelle, tout le monde veux du Jquery/AJAX pour animer son site...
Le seul problème, c'est que cela fait appel à du javascript, qui est comme tu l'as compris tout à fait modulable avec de bon outils (Firebug, Web Developper, ainsi que d'autres outils orienté pentest).

Pour ce qui est de l'attaque par dictionnaire, c'est un addon développer sous Firefox utilisé pour tester la fiabilité des mots de passes.

Pour ce qui est des formulaire d'authentification, rien ne vaut les anciennes méthodes de sécurisation, à savoir:
-utiliser mysql_real_escape_string() contre les caractères spéciaux (ex: injection SQL)
-au bout de 3 mauvaises tentatives, faire appel à un captcha, voir bannir l'utilisateur/robot en lui refilant un cookie contenant des données qui, dés quelles sont lues par le site, le redirige vers une page d'erreur

kcin · 24/02/2011, 20h12

Ne voyant pas de réponse venir, je me suis finalement remis sur la voie traditionnelle

Merci de ta réponse

J'aurais pensé qu'il y eut une alternative, mais çà n'a pas l'air d'être le cas.

24/02/2011, 11h02	#1
kcin Invité régulier Inscription : février 2005 Messages : 30 Détails du profil Informations forums : Inscription : février 2005 Messages : 30 Points : 9 Points : 9	Sécurité Jquery modal login => Ajax Bonjour, Voilà, sur un développement de site avec système de login, je pensais mettre en place une modal login basique avec traitement Ajax, histoire d'éviter les reload de page... Or, un ami m'a fait la remarque que ce système a une faille assez importante. Et j'aurais aimé savoir si il y avait une parade pour éviter çà tout en gardant le principe de fonctionnement mentionné plus haut. A l'arrivée sur le site, la modal apparait avec les champs login pass. En validant, çà envoi ces informations en ajax sur une page afin de savoir si le login et le pass sont correct. Est retourné ensuite une ou plusieurs valeurs. En fonction de ces valeurs soit çà affiche un message d'erreur soit la modal disparait pour laisser l'accès au site. La faille serait, avec l'aide d'outils genre firebug, que la personne malveillante modifie le code jquery en y introduisant un dictionnaire de mot de passe ( par exemple ) afin d'accéder au site. C'est une faille quand même assez importante, et j'aurais voulu avoir vos avis car avec tous les scripts modal login proposés sur internet, il doit bien y avoir une parade. Voilà, a vous. Merci.
	00

24/02/2011, 19h54	#2
pi-2r Rédacteur Inscription : juin 2006 Messages : 1 388 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 388 Points : 2 216 Points : 2 216	Bonsoir, j'ai été moi même dans le même embarras que toi lors du développement d'un de mes projets. A l'heure actuelle, tout le monde veux du Jquery/AJAX pour animer son site... Le seul problème, c'est que cela fait appel à du javascript, qui est comme tu l'as compris tout à fait modulable avec de bon outils (Firebug, Web Developper, ainsi que d'autres outils orienté pentest). Pour ce qui est de l'attaque par dictionnaire, c'est un addon développer sous Firefox utilisé pour tester la fiabilité des mots de passes. Pour ce qui est des formulaire d'authentification, rien ne vaut les anciennes méthodes de sécurisation, à savoir: -utiliser mysql_real_escape_string() contre les caractères spéciaux (ex: injection SQL) -au bout de 3 mauvaises tentatives, faire appel à un captcha, voir bannir l'utilisateur/robot en lui refilant un cookie contenant des données qui, dés quelles sont lues par le site, le redirige vers une page d'erreur __________________ Les pièges de l'Internet Helix, réponse à une intrusion [ Pas de questions techniques en MP ] "La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius "Si j’ai vu si loin, c’est que j’étais monté sur des épaules de géants." Isaac Newton
	00

24/02/2011, 20h12	#3
kcin Invité régulier Inscription : février 2005 Messages : 30 Détails du profil Informations forums : Inscription : février 2005 Messages : 30 Points : 9 Points : 9	Ne voyant pas de réponse venir, je me suis finalement remis sur la voie traditionnelle Merci de ta réponse J'aurais pensé qu'il y eut une alternative, mais çà n'a pas l'air d'être le cas.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email