[Réseau] trafiquer une variable sur le réseau, entre le client et le serveur

JackBeauregard · 06/10/2006, 23h29

Bonjour,

Voilà une question pas piquée des hannetons :
Peut-on trafiquer le contenu d'une variable en s'insinuant entre le client et le serveur ?

Je m'explique (un peu) mieux :

J'ai mon admin. A priori elle est très bien protégée.
Dans mon admin j'ai des champs de formulaire.
Je ne filtre pas les variables reçues par $_POST[] puisque personne n'a accès à mon admin et que je ne vais pas me pirater tout seul et qu'en plus si le gars est déjà entrée dans l'admin, de toute façon c'est déjà trop tard.

Mais imaginons que le gars sniffe le réseau : Depuis mon admin je poste un form. Forcément ce form se ballade sur le réseau entre mon pc et le serveur. Et là c'est en clair.

Donc le pirate peut-il sniffer le form pendant qu'il transite, traficoter les variables et commettre son forfait, comme effacer une table, ou autre ?

**edit** Peut-être la question était-elle plus appropriée dans la rubrique "réseau". Si un modérateur passe par là, à lui d'en juger.

vg33 · 06/10/2006, 23h32

La réponse est aussi simple que rapide : OUI.
C'est la technique appelée "man in the middle".
A ma connaissance, la seule façon de s'en prémunir est HTTPS/SSL/SSH & Co.

JackBeauregard · 06/10/2006, 23h38

Oui j'ai pensé aussi qu'https était le seul moyen de se prémunir d'un truc comme ça.
J'avais entendu parler du nom de la technique mais je savais pas que c'était ça.

Bon alors, je filtre les forms de l'admin ?
De toute façon si le gars sniffe le réseau, autant qu'il choppe mes mots de passe, non ?
je voudrais pas bosser pour rien.

vg33 · 06/10/2006, 23h51

Citation:

Envoyé par JackBeauregard

Bon alors, je filtre les forms de l'admin ?

Ca ne peut pas faire de mal, et ça risque de sécuriser un peu ton applic. Mais si ta zone admin permet des suppressions de table/données... tu es cuit ! Le tout est de voir l'impact d'un piratage. S'il est faible... bein laisse tomber. Sinon : HTTPS...
Pour le mot de passe, tu peux corser un peu l'affaire, avec un couplage md5 + grain de sel, ce qui rend la découverte du mdp presque impossible.

JackBeauregard · 07/10/2006, 00h02

Pour le mot de passe, j'utilise sha1 mais de toute façon il transite en clair donc pour que le gars cherche à le décrypter il faut qu'il trouve celui qui est stocké dans la BD. Et là c'est déjà trop tard en fait.

Bon dès que possible je passe en https. A priori c'est le seul moyen de se protéger des attaques qui utilisent les réseaux.

Je ne marque pas "résolu", si quelqu'un veut nous en dire plus, c'est intéressant.

alain31tl · 07/10/2006, 01h35

Citation:

Envoyé par JackBeauregard

.......Je ne filtre pas les variables reçues par $_POST[] puisque personne n'a accès à mon admin et que je ne vais pas me pirater tout seul ........

Salut

Et forcemment, tu t'inquiétes quand même !?!

Et bien, filtres-les en $_POST pour ne plus te poser la question ?

JackBeauregard · 07/10/2006, 12h56

Oui mais ça va pas changer grand chose parce que si le gars trafique une variable c'est :

1) qu'il est déjà dans l'admin pour pouvoir poster le form : donc je suis déjà mort.
2) qu'il a décider de "sniffer le réseau" pour les intercepter, auxquel cas il préférera sans doute chopper directement mes mots de passe.

Faut que je vois si c'est difficile d'installer https sur un mutualisé d'ovh.

kankrelune · 07/10/2006, 15h51

Citation:

Envoyé par Jack

1) qu'il est déjà dans l'admin pour pouvoir poster le form : donc je suis déjà mort.

Pas forcement... tu es mort parce que justement tu ne filtre rien un fois dans l'admin... ce qui veut dire que le pirate s'il arrive à se logger peut, par exemple, te virer tes tables ou corrompre ta base de donnée via des injections... alors que si tu filtre tout en admin ça réduit les dégats si tu n'as aucun commandes sql sensible (genre créer supprimer des table via l'admin)... il pourra faire quoi... créer des news bidon pour faire des attaque css (si tu ne filtre pas le html)... après ça n'enleve pas tout les risques mais ça les réduit encore plus... .. .

@ tchaOo°

JackBeauregard · 07/10/2006, 16h57

C'est vrai que sur l'admin on ne peut que modifier, supprimer ou déplacer des messages (bloquer des comptes aussi etc...). Cela fait déjà beaucoup mais le gars à sans doute autre chose à faire que de passer xxx minutes à mettre le boxon (quoique, c'est tellement drole pour certain).

Mais le problème c'est qu'il n'y a pas que l'admin, il y a aussi phpMyAdmin. Si il a piraté l'admin, c'est qu'il est capable d'aller dans phpMyAdmin. Et là le pire est à craindre. Y'a vraiment que HTTPS de valable, mais bon, si j'ai quelques heures de libre à la fin de mes développement, je verrais si je filtre aussi les formulaires de l'admin.

kankrelune · 07/10/2006, 17h06

Citation:

Envoyé par JackBeauregard

mais le gars à sans doute autre chose à faire que de passer xxx minutes à mettre le boxon (quoique, c'est tellement drole pour certain).

C'est le litemotiv de la plupart des hacker de sites (persos)... qui plus est il peut toujours faire du cross site scripting et si tu ne filtre pas tes entrée comme je l'ais dit plus haut il peut te fouttre ta BDD en l'air donc autant lui compliquer la tache... quand à phpMyAdmin d'une part il faut remettre chacun dans son role les failles de sécurité de phpMyAdmin sont prises en charge et corrigés par l'équipe de développement de phpMyAdmin (après à toi de faire les mises à jour réglièrement) donc il faut te concentrer sur la sécurisation de ton site d'autre part je trouve que c'est une très mauvaise idée de donner l'accès à ton phpMyAdmin dans la zone d'administration de ton site... .. .

@ tchaOo°

JackBeauregard · 07/10/2006, 17h44

Citation:

ui plus est il peut toujours faire du cross site scripting et si tu ne filtre pas tes entrée comme je l'ais dit plus haut il peut te fouttre ta BDD en l'air donc autant lui compliquer la tache...

Bon vous avez l'air d'y tenir alors je vais faire le nécessaire

Citation:

il faut te concentrer sur la sécurisation de ton site d'autre part je trouve que c'est une très mauvaise idée de donner l'accès à ton phpMyAdmin dans la zone d'administration de ton site... .. .

Oui je vais séparer les deux pour la V3. Mais bon, ça ne sera jamais qu'un .htaccess pour sécuriser phpMyAdmin. Là aussi, il faudrait https.

kankrelune · 07/10/2006, 18h37

Citation:

Envoyé par JackBeauregard

Bon vous avez l'air d'y tenir alors je vais faire le nécessaire

Bah tu fais comme tu veux... on te donne notre avis... après moi c'est pas ça qui m'empechera de dormir... .. .

Citation:

Envoyé par JackBeauregard

Oui je vais séparer les deux pour la V3. Mais bon, ça ne sera jamais qu'un .htaccess pour sécuriser phpMyAdmin. Là aussi, il faudrait https.

Déja un htaccess c'est toujours ça de plus et ensuite il ne faut pas que le lien vers phpMyAdmin soit dans ton site... même pas dans l'admin... ton phpMyAdmin est dans un répertoire avec un nom à la %ùµ*¨... genre /_xdb5069_myadmin_/... ce qui réduit les risques qu'un hacker y accède... après toi tu met le liens dans les marques pages de ton navigateur c'est amplement suffisant... .. .

@ tchaOo°

06/10/2006, 23h29	#1
JackBeauregard Inscrit Inscription : juin 2006 Messages : 531 Détails du profil Informations forums : Inscription : juin 2006 Messages : 531 Points : 225 Points : 225	[Réseau] trafiquer une variable sur le réseau, entre le client et le serveur Bonjour, Voilà une question pas piquée des hannetons : Peut-on trafiquer le contenu d'une variable en s'insinuant entre le client et le serveur ? Je m'explique (un peu) mieux : J'ai mon admin. A priori elle est très bien protégée. Dans mon admin j'ai des champs de formulaire. Je ne filtre pas les variables reçues par $_POST[] puisque personne n'a accès à mon admin et que je ne vais pas me pirater tout seul et qu'en plus si le gars est déjà entrée dans l'admin, de toute façon c'est déjà trop tard. Mais imaginons que le gars sniffe le réseau : Depuis mon admin je poste un form. Forcément ce form se ballade sur le réseau entre mon pc et le serveur. Et là c'est en clair. Donc le pirate peut-il sniffer le form pendant qu'il transite, traficoter les variables et commettre son forfait, comme effacer une table, ou autre ? edit Peut-être la question était-elle plus appropriée dans la rubrique "réseau". Si un modérateur passe par là, à lui d'en juger.
	00

06/10/2006, 23h32	#2
vg33 Membre Expert Inscription : janvier 2005 Messages : 1 249 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : janvier 2005 Messages : 1 249 Points : 1 417 Points : 1 417	La réponse est aussi simple que rapide : OUI. C'est la technique appelée "man in the middle". A ma connaissance, la seule façon de s'en prémunir est HTTPS/SSL/SSH & Co.
	00

06/10/2006, 23h38	#3
JackBeauregard Inscrit Inscription : juin 2006 Messages : 531 Détails du profil Informations forums : Inscription : juin 2006 Messages : 531 Points : 225 Points : 225	Oui j'ai pensé aussi qu'https était le seul moyen de se prémunir d'un truc comme ça. J'avais entendu parler du nom de la technique mais je savais pas que c'était ça. Bon alors, je filtre les forms de l'admin ? De toute façon si le gars sniffe le réseau, autant qu'il choppe mes mots de passe, non ? je voudrais pas bosser pour rien.
	00

07/10/2006, 00h02	#5
JackBeauregard Inscrit Inscription : juin 2006 Messages : 531 Détails du profil Informations forums : Inscription : juin 2006 Messages : 531 Points : 225 Points : 225	Pour le mot de passe, j'utilise sha1 mais de toute façon il transite en clair donc pour que le gars cherche à le décrypter il faut qu'il trouve celui qui est stocké dans la BD. Et là c'est déjà trop tard en fait. Bon dès que possible je passe en https. A priori c'est le seul moyen de se protéger des attaques qui utilisent les réseaux. Je ne marque pas "résolu", si quelqu'un veut nous en dire plus, c'est intéressant.
	00

07/10/2006, 12h56	#7
JackBeauregard Inscrit Inscription : juin 2006 Messages : 531 Détails du profil Informations forums : Inscription : juin 2006 Messages : 531 Points : 225 Points : 225	Oui mais ça va pas changer grand chose parce que si le gars trafique une variable c'est : 1) qu'il est déjà dans l'admin pour pouvoir poster le form : donc je suis déjà mort. 2) qu'il a décider de "sniffer le réseau" pour les intercepter, auxquel cas il préférera sans doute chopper directement mes mots de passe. Faut que je vois si c'est difficile d'installer https sur un mutualisé d'ovh.
	00

07/10/2006, 16h57	#9
JackBeauregard Inscrit Inscription : juin 2006 Messages : 531 Détails du profil Informations forums : Inscription : juin 2006 Messages : 531 Points : 225 Points : 225	C'est vrai que sur l'admin on ne peut que modifier, supprimer ou déplacer des messages (bloquer des comptes aussi etc...). Cela fait déjà beaucoup mais le gars à sans doute autre chose à faire que de passer xxx minutes à mettre le boxon (quoique, c'est tellement drole pour certain). Mais le problème c'est qu'il n'y a pas que l'admin, il y a aussi phpMyAdmin. Si il a piraté l'admin, c'est qu'il est capable d'aller dans phpMyAdmin. Et là le pire est à craindre. Y'a vraiment que HTTPS de valable, mais bon, si j'ai quelques heures de libre à la fin de mes développement, je verrais si je filtre aussi les formulaires de l'admin.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email