[Sécurité] Failles PHP utilisés par le fishing [Résolu]

neXistPa · 10/04/2006, 14h16

Bonjour à tous,

Il y a quelques temps j'ai réalisé un site pour une entreprise dans le cadre d'un stage.
Ce site est hébergé chez HOSTEUR et apparament il s'est fait hacké

Le technicien support que j'ai contacté m'a dit que mes scripts PHP contenaient des failles utilisées par le fishing.
Le problème C que je ne m'y connait pas trop en sécurisation de pages WEB

Pourriez-vous m'aider ou alors m'orienter ?

Merci d'avance

efficks · 10/04/2006, 14h47

Il y a beaucoup de choses qu'un hacker peu faire sur un site web. Quand tu dis te faire hacker... que veux tu dire. Qu'est ce que le hacker a fait?

neXistPa · 10/04/2006, 18h30

Je pourrais pas te dire... Hosteur a dégager le site avant que je puisse constater les dégats

Maiss apparament il aurait le hacker aurait utilisé mon site (faille de mes pages) ou mon nom de domaine pour faire du fishing.
Je suis désoler de ne pas pouvoir vous donner plus d'info.

En faite ce que j'aimerais savoir C si vous connaissez des sites ou des tutorials sympa pour "essayer" de protéger un site PHP.

Merci

ShinJava · 10/04/2006, 19h44

Salut,
Voici quelques liens utile pour comprendre les failles d'un site et comment s'en proteger :

Injection mail :
http://www.phpsecure.info/v2/article...dersInject.php

Injection SQL :
http://www.phpsecure.info/v2/article/InjSql.php
Contre l'injection SQL, la fonction mysql_real_escape_string est assez efficace

C'est deja un bon petit début, si jamais tu n'as pas assez d'info, une bonne petite recherche sur google devrait t'en dire d'avantage =).

Bonne lecture

++
ShinJava

PS : si d'autres personnes ont des liens de ce style, je suis preneur !

ePoX · 10/04/2006, 21h39

Oué enfin le phishing ce n'est pas de l'injection.
C'est la que je ne comprends pas comment il à pu utiliser une faille sur ton site pour faire du fishing.

A la rigueur il à pu utiliser ton hebergement pour heberger un fake dans le but de faire du phishing... C'est un peu flou tout cela.

pour rappel -> http://fr.wikipedia.org/wiki/Phishing

ShinJava · 10/04/2006, 21h49

Houla merci de m'avoir repris,

J'ai pas était assez attentif, j'ai compris qu'il voulait securiser ses scripts php, et dans ma petite tête j'ai pensé direct aux injections.

-1 pour moi

parti faire une sieste de 24h

++
ShinJava

Yogui · 10/04/2006, 22h22

Salut

En effet, il me semble que le fishing consiste en l'abus de la crédulité ou de la naïveté de quelqu'un (donc un utilisateur). Rien (ou peu) à voir avec la sécurité appliquée dans des scripts.

Sinon, voici ce que nous avons sur Développez.com :
Sécuriser son site en PHP
PHP secure

neXistPa · 11/04/2006, 13h59

Je vous remerçi tous, je vais me mettre à la lecture de toutes ces infos

Je connaissais déjà le principe du fishing, mais C généralement dans les milieu bancaire que l'on retrouve ce genre d'arnaque.
Donc ce que je trouve bizar C qu'un hacker se soit donné la peine de pirater mon site alors qu'il n'y a pas de payement en ligne n'y quoi que se soit s'en rapprochant

Cela restera un mystère

10/04/2006, 14h16	#1
neXistPa Invité de passage Inscription : janvier 2005 Messages : 18 Détails du profil Informations forums : Inscription : janvier 2005 Messages : 18 Points : 4 Points : 4	[Sécurité] Failles PHP utilisés par le fishing Bonjour à tous, Il y a quelques temps j'ai réalisé un site pour une entreprise dans le cadre d'un stage. Ce site est hébergé chez HOSTEUR et apparament il s'est fait hacké Le technicien support que j'ai contacté m'a dit que mes scripts PHP contenaient des failles utilisées par le fishing. Le problème C que je ne m'y connait pas trop en sécurisation de pages WEB Pourriez-vous m'aider ou alors m'orienter ? Merci d'avance
	00

10/04/2006, 14h47	#2
efficks Membre chevronné Inscription : septembre 2005 Messages : 714 Détails du profil Informations forums : Inscription : septembre 2005 Messages : 714 Points : 689 Points : 689	Il y a beaucoup de choses qu'un hacker peu faire sur un site web. Quand tu dis te faire hacker... que veux tu dire. Qu'est ce que le hacker a fait? __________________ Avant de poster : FAQ, tutos, rechercher, google, ... Après : Merci
	00

10/04/2006, 22h22	#7
Yogui Rédacteur Guillaume Rossolini Directeur technique Inscription : février 2004 Messages : 13 720 Détails du profil Informations personnelles : Nom : Guillaume Rossolini Localisation : France Informations professionnelles : Activité : Directeur technique Informations forums : Inscription : février 2004 Messages : 13 720 Points : 17 355 Points : 17 355	Salut En effet, il me semble que le fishing consiste en l'abus de la crédulité ou de la naïveté de quelqu'un (donc un utilisateur). Rien (ou peu) à voir avec la sécurité appliquée dans des scripts. Sinon, voici ce que nous avons sur Développez.com : Sécuriser son site en PHP PHP secure __________________ Mes articles - Zend Certified Engineer (PHP + Zend Framework) Ressources PHP - Ressources Zend Framework
	00

10/04/2006, 18h30	#3
neXistPa Invité de passage Inscription : janvier 2005 Messages : 18 Détails du profil Informations forums : Inscription : janvier 2005 Messages : 18 Points : 4 Points : 4	Je pourrais pas te dire... Hosteur a dégager le site avant que je puisse constater les dégats Maiss apparament il aurait le hacker aurait utilisé mon site (faille de mes pages) ou mon nom de domaine pour faire du fishing. Je suis désoler de ne pas pouvoir vous donner plus d'info. En faite ce que j'aimerais savoir C si vous connaissez des sites ou des tutorials sympa pour "essayer" de protéger un site PHP. Merci
	00

10/04/2006, 19h44	#4
ShinJava Membre confirmé Inscription : septembre 2004 Messages : 411 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 411 Points : 287 Points : 287	Salut, Voici quelques liens utile pour comprendre les failles d'un site et comment s'en proteger : Injection mail : http://www.phpsecure.info/v2/article...dersInject.php Injection SQL : http://www.phpsecure.info/v2/article/InjSql.php Contre l'injection SQL, la fonction mysql_real_escape_string est assez efficace C'est deja un bon petit début, si jamais tu n'as pas assez d'info, une bonne petite recherche sur google devrait t'en dire d'avantage =). Bonne lecture ++ ShinJava PS : si d'autres personnes ont des liens de ce style, je suis preneur !
	00

10/04/2006, 21h39	#5
ePoX Membre Expert Inscription : juillet 2004 Messages : 1 033 Détails du profil Informations forums : Inscription : juillet 2004 Messages : 1 033 Points : 1 050 Points : 1 050	Oué enfin le phishing ce n'est pas de l'injection. C'est la que je ne comprends pas comment il à pu utiliser une faille sur ton site pour faire du fishing. A la rigueur il à pu utiliser ton hebergement pour heberger un fake dans le but de faire du phishing... C'est un peu flou tout cela. pour rappel -> http://fr.wikipedia.org/wiki/Phishing
	00

10/04/2006, 21h49	#6
ShinJava Membre confirmé Inscription : septembre 2004 Messages : 411 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 411 Points : 287 Points : 287	Houla merci de m'avoir repris, J'ai pas était assez attentif, j'ai compris qu'il voulait securiser ses scripts php, et dans ma petite tête j'ai pensé direct aux injections. -1 pour moi parti faire une sieste de 24h ++ ShinJava
	00

11/04/2006, 13h59	#8
neXistPa Invité de passage Inscription : janvier 2005 Messages : 18 Détails du profil Informations forums : Inscription : janvier 2005 Messages : 18 Points : 4 Points : 4	Je vous remerçi tous, je vais me mettre à la lecture de toutes ces infos Je connaissais déjà le principe du fishing, mais C généralement dans les milieu bancaire que l'on retrouve ce genre d'arnaque. Donc ce que je trouve bizar C qu'un hacker se soit donné la peine de pirater mon site alors qu'il n'y a pas de payement en ligne n'y quoi que se soit s'en rapprochant Cela restera un mystère
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email