Faille sur mon site

**Jasonvnm** · 03/11/2013, 14h21

Bonjour,

Quelqu'un s'amuse à supprimer toutes les publications de mon site web. Je n'arrive pas à trouver comment il fait...

Pourriez-vous m'aider à régler cette faille ?

(Vous pouvez supprimer aussi toutes les publications pour trouver l'origine de la faille, j'ai des backups)

http://birneo.com/ (La page Home)

**Séb.** · 03/11/2013, 15h22

Pourriez-vous m'aider à régler cette faille ?

Faudrait la source.

http://birneo.com/ (La page Home)

Accessible par http://www.birneo.com/

Je ne vois qu'une page de connexion.

**papajoker** · 03/11/2013, 15h43

Envoyé par Séb.

Je ne vois qu'une page de connexion.

oui

fournit nous une entré type : test@test.fr : test

---------------------
lol, je viens de tester exactement le même genre ! http://www.worldwide-community.com/ mais lui inscriptions bidons ouvertes

Il demande a ce que l'on lui casse son site

**Jasonvnm** · 03/11/2013, 16h03

test@test.com et mot de passe : test

**armel18** · 03/11/2013, 16h20

primo pas besoin d'un compte utilisateur pour se connecter: en cliquant sur le bouton connexion on se connecte directement sans avoir à fournir le login et le password.

tes requêtes sql restent vulnérables à une injection sql.

**Jasonvnm** · 03/11/2013, 16h33

Merci de ta réponse, comment régler ce problème ?

**armel18** · 03/11/2013, 16h59

ce module firefox sql-inject-me/ permet de tester la vulnérabilité de ton site aux injections SQL et aux attaques XSS.

pour se protéger contre les injections sql, toutes les données en provenance de l'utilisateur doivent être protégées avec mysql_real_escape_string () (si tu utilises l'extension mysql_*)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$login=$_POST['login']
$sql="SELECT login FROM users WHERE ='".mysql_real_escape_string ($login) ." '";

pour se protéger des attaques xss il te faut soit la fonction php htmlspecialchars soit la fonction htmlentities pour afficher les données

**Jasonvnm** · 03/11/2013, 17h02

Mais j'utilise PDO pas mysql et je ne trouve pas d'équivalent à mysql_real_escape_string

L'extension firefox me donne ceci:

Server Status Code: 302 Moved Temporarily
Tested value: 1'1
Server Status Code: 302 Moved Temporarily
Tested value: '; DESC users; --
Server Status Code: 302 Moved Temporarily
Tested value: 1 AND USER_NAME() = 'dbo'
Server Status Code: 302 Moved Temporarily
Tested value: 1' AND 1=(SELECT COUNT(*) FROM tablenames); --
Server Status Code: 302 Moved Temporarily
Tested value: 1 AND 1=1
Server Status Code: 302 Moved Temporarily
Tested value: 1 EXEC XP_
Server Status Code: 302 Moved Temporarily
Tested value: 1'1
Server Status Code: 302 Moved Temporarily
Tested value: 1' OR '1'='1
Server Status Code: 302 Moved Temporarily
Tested value: 1 OR 1=1

Comment régler ces erreurs ?

**armel18** · 03/11/2013, 17h21

Envoyé par Jasonvnm

Mais j'utilise PDO pas mysql et je ne trouve pas d'équivalent à mysql_real_escape_string

si tu utilises PDO et que tes requêtes ne sont pas préparées il faut toujours protéger les données avec la fonction PDO quote() (quote.php)

d'ailleurs les résultats de sql inject me montrent bien les vulnérabiltés liées aux injections sql.

tu peux poster une portion de code comprenant la requête sql permettant l'identification de tes utilisateurs?

**Jasonvnm** · 03/11/2013, 17h28

Voici le code qui check à la connexion

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
$email = strip_tags($_POST['email']);
$password = $_POST['password'];
// Fonction quote
$email_sql = $bdd->quote($email);
 
$sql = "SELECT * FROM users WHERE email=$email_sql";
$query = $bdd->query($sql);
$dn = $query->fetch();
if(md5($password) == $dn['password'])
{
   if($dn['suspendu'] == 1)
   {
      header("Location: ../suspendu/");
   }else
   {
      session_regenerate_id();
      $_SESSION['userid'] = $dn['id'];
      $id = $_SESSION['userid'];
      $_SESSION['email'] = $dn['email'];
      $_SESSION['token'] = md5(time()*rand(1440,2560));
      $token = $_SESSION['token'];
      $bdd->query("UPDATE users SET token='$token',online=1 WHERE id='$id'");
      header("location: ../home/");
   }
 
}else
{
  header("Location: ../welcome?reply=notok3");
}

**sabotage** · 03/11/2013, 18h21

Il manque les guillemets sur les chaines, je ne vois même pas comment tu peux avoir un résultat.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = "SELECT * FROM users WHERE email='$email_sql'";

Ton strip_tags() au début ne sert à rien.

**armel18** · 03/11/2013, 18h23

en plus de la fonction quote() les données reçues doivent être placées entre guillemets dans la requête sql, par exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
$email = strip_tags($_POST['email']);
$password = $_POST['password'];
// Fonction quote
$email_sql = $bdd->quote($email);
 
$sql = "SELECT * FROM users WHERE email='".$email_sql."'";

**Jasonvnm** · 03/11/2013, 18h33

Merci de votre aide je vais faire ça de suite

**papajoker** · 03/11/2013, 18h55

Envoyé par armel18

en plus de la fonction quote() les données reçues doivent être placées entre guillemets dans la requête sql, par exemple:

non justement, quote par defaut est PDO:: PARAM_STR donc ajoute automatiquement ''
voir 1er exemple : http://php.net/manual/fr/pdo.quote.php

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
$email = trim($_POST['email']);
$password = trim($_POST['password']); // trim pour saisie plus lache
 
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) // test si email valide
	header("Location: /welcome?reply=notok3"); 
$sql = 'SELECT * FROM users WHERE email='.$bdd->quote($email).' AND password="'.md5($password).'"';
// dans sql ai passé le mot de passe aussi
$query = $bdd->query($sql);
$dn = $query->fetch();
if($dn)
{
   if($dn['suspendu'] == 1)
   {
      header("Location: ../suspendu/");
   }else
   {
      session_regenerate_id();
      $_SESSION['userid'] = $dn['id'];
      $_SESSION['email'] = $dn['email'];
      $_SESSION['token'] = md5(time()*rand(1440,2560));
      $bdd->query("UPDATE users SET token='{$_SESSION['token']}',online=1 WHERE id={$dn['userid']}");
      header("location: ../home/");
   }
}
// cette redirection sortie des if imbriqués donc valeur par defaut :)
header("Location: /welcome?reply=notok3");

**armel18** · 03/11/2013, 20h17

Envoyé par papajoker

non justement, quote par defaut est PDO:: PARAM_STR donc ajoute automatiquement ''
voir 1ere exemple : http://php.net/manual/fr/pdo.quote.php

merci c'est très édifiant.

Faille sur mon site

Langage PHP

Discussions similaires

Partager

Partager