Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 3 sur 3
  1. #1
    Membre habitué
    Inscrit en
    juillet 2006
    Messages
    718
    Détails du profil
    Informations forums :
    Inscription : juillet 2006
    Messages : 718
    Points : 139
    Points
    139

    Par défaut Sécuriser un site web

    Bonjour à tous,

    J'ai développé un site dont voici l'url : www.weetool.com. Je suis développeur web mais possède quelques lacunes en matière de sécurité.
    Aujourd'hui, quelqu'un s'est amusé à me vider ma base de données. La base étant vide, plus moyen de se connecter. Le fichier index.php à la racine du site avait également disparu. Le souci est que je n'ai pas trop d'idées sur la façon dont cette personne s'y est prise. Heureusement, je fais des backup quotidiennement donc tout est revenu à la normale.

    Donc mes questions sont les suivantes :
    - Quelqu'un voudrait-il bien me donner une piste sur la façon dont quelqu'un aurait pu faire tout ceci.
    - Quelles seraient mes priorités si je veux blinder mon site et faire en sorte de combler différentes sortes de failles existantes ?

    Merci

  2. #2
    Membre actif
    Avatar de fmdao
    Profil pro fmfcd
    Formateur en informatique
    Inscrit en
    novembre 2010
    Messages
    90
    Détails du profil
    Informations personnelles :
    Nom : fmfcd
    Localisation : France, Haute Loire (Auvergne)

    Informations professionnelles :
    Activité : Formateur en informatique

    Informations forums :
    Inscription : novembre 2010
    Messages : 90
    Points : 183
    Points
    183

    Par défaut

    Peut-être faire appel à un professionnel ou suivre une formation ?

  3. #3
    Membre habitué
    Inscrit en
    juillet 2006
    Messages
    718
    Détails du profil
    Informations forums :
    Inscription : juillet 2006
    Messages : 718
    Points : 139
    Points
    139

    Par défaut

    Je me suis bien creusé la tête et j'ai vu qu'il est possible d'avoir connaissance assez simplement de l'arborescence des fichiers se trouvant sur le serveur.
    Sur mon site, il est possible d'uploader des fichiers (pour créer son avatar). La technique consiste à uploader un script php qui va donner la liste des fichiers côté serveur.
    Un autre fichier uploadé permet de supprimer les fichiers en passant en GET les fichiers fournis par le précédent script.
    C'est moche mais si les tests à l'upload sont correctement effectués, c'est déjà un souci de moins.

    Je peux passer à un autre type d'attaque ...

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •