Quelles sont les meilleures pratiques de sécurité pour protéger un site des hackers ? - Page 2

kankrelune · 25/05/2006, 19h14

Pour rappel concernant php... les fonctions, procédures suivantes sont à employer sans modération... .. .

addslashes et mysql_real_escape_string
(int)$maVar (par ex dans le cas d'un id)
htmlspecialchars, htmlentities voir même carement strip_tags
is_file ou file_exists (fameuse faille du include)
file_get_contents (pour des fichiers autre que php pas besoin d'include)
initialiser ses variables à vide en début de script ($maVar = ''; )
error_reporting(0); pour le site en production le mieux étant paralellement de loguer les erreurs php et de n'afficher le mode debug (pour les script qui en ont) qu'aux admin
chmod 444 pour tous les fichiers de config (le mieux étant de les mettre dans un répertoire à part protégé par un .htaccess en deny from all)
comme dit précédament donner des noms bizars à tous les fichiers (surtout éviter les admin.php) et répertoires qui n'ont pas à être accédé par les utilisateurs normaux (par exemple utiliser un préfix genre pwet_includes plop_admin)
évitez les options "connection automatique" et d'une manière générale ne faire que peu confiance aux cookies (sauf pour des options mineurs genre quel theme veut tu utiliser)
stocker une variable unique à l'utilisateur dans la sessions du membre (genre ip + useragent + language le tout hashé avec md5) et le comparer à chaque début de page pour lutter contre le session hijacking
comme dit précédament logger les actions des utilisateurs peut être plus qu'instructif
config php.ini : register_globals à off, allow_url_fopen à off et safe_mode à on c'est pas du luxe non plus
protéger les répertoires contenant les log avec un .htaccess et d'une manière générale tous les répertoire ou l'utilisateur n'est pas censé accéder via http
controler la provenance d'un formulaire soit avec la technique captcha (image contenant un code à saisir générée à la volée) ou alors avec la technique du ticket (champs caché du formulaire contenant une id unique générée à la volée)
concernant l'identification préférer une requete qui renvoie les infos par rapport au login et comparer ensuite le pass plutot que de juste regarder si le membre existe (WHERE login=$login AND pass=$pass)
hascher le pass avec un grain de sel généré à la volée lors de la soumission pour la connection peut être un plus non négligeable... ça donne du fil en plus à tordre au pseudo pirate...
temporiser la soumission des infos de connection (genre avec un sleep d'une seconde ou deux) pour eviter les boots et rendre difficil les attaque par brute force...
bannir la personnes genre une demi heure si elle se plante plus de trois fois de pass... .. .

Voila dans les grandes ligne... la liste est loin d'être exaustive mais, sauf oubli, le plus important est là... .. .

@ tchaOo°

Garra · 02/05/2008, 14h40

Bonjour à tous

Ce post est super intéressant et à suivre!!!

Mon site est hebergé chez ovh (oui, je sais....) en mutualisé.
je viens de m'appercevoir que les abroutis dont vous parliez ils ont tout simplement crée un index.htm alors que mon site est lancé via un index.php.

Facile non?

Comment éviter qu'on me copie un index.html ou tout simplement obliger mon site à passer toujours par un index.php?

J'ai déjà été hackée et lors de la connexion au site mon antivirus m'annoncait un virus.
Il a suffit de recopier ma racine sur le serveur ovh mais .... bon

Merci de vos conseils

rouliow · 22/05/2008, 14h35

Pourquoi ne pas utiliser des procédures stockées pour régler le problème du Sql injection ?

C'est efficace, puissant et je vois pas comment quelqu'un pourrait modifier intentionnellement une requette sql sachant qu'on lui donne que des paramètres?

Si on ne fait pas des requettes Sql dynamique il devrait pas y avoir de problème.

Bon après faut quand même vérifier les imputs pour éviter d'insérer n'importe quoi

caradhras · 12/06/2008, 20h55

Bonjour à tous!

J'ai le même problème que Garra (deux messages plus haut). Comme une démo vaut mieux qu'un bon discours :

1) Allez sur google. Recherchez "golf bordelais" et cliquez sur le premier résultat (à savoir http://www.golf-bordelais.fr). On tombe sur une sorte de blog en anglais sur fond noir.

2) Tapez directement www.golf-bordelais.fr dans la barre d'adresse, ou mieux, sur la page "pirate" selectionnez juste l'adresse et appuyer sur Entrée, et vous tomberez directement sur le bon site...

Quelqu'un a-t-il une idée sur comment remédier à ça?

Phelim · 12/06/2008, 22h21

Au debut, j'avais imaginé l'inclusion d'un fichier javascript.
A premiere vue, ce n'est pas ça. En desactivant le javascript du navigateur, ça marche encore.

Apres, il peut regarder le referer depuis le code php aussi et effectuer une redirection mais sans le code, difficile de voir la difference.

effectue 2 recherches. Une sur cette variable

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SERVER['HTTP_REFERER']

Une sur cette fonction dans ton code php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header()

Ca me parait l'endroit le plus indiqué pour détourner ton site. Ce détournement doit avoir lieux au tout debut de ton script.

*edit*
En faite, apres avoir fait quelques recherches sur le net, ton hacker semble utiliser un htaccess

http://www.phwinfo.com/forum/fr-comp...t-referer.html

Ne me demande pas comment il est rentré, je ne m'y connais pas beaucoup et sans log, c'est carrément la boule de cristale qu'il faut sortir.

DarkChamallo · 08/07/2008, 16h38

Citation:

Envoyé par rouliow

Pourquoi ne pas utiliser des procédures stockées pour régler le problème du Sql injection ?

Hello, déterrage de topic pour dire à ceux qui comme moi ont perdu pas mal de temps sur la piste des procédures stockées pour finir par lire sur le web une contre indication concernant les injections SQL.

A bon entendeur

Sinon merci pour la liste

pi-2r · 02/11/2008, 22h15

Bonsoir,

certains Hacktivistes, c'est ainsi que l'on nome le pirate qui efface l'index d'un site web pour faire passer un message (du genre: "Hacked By...."), utilisent parfois le moteur de recherche Google afin de réaliser des testes d'intrusions sur un ou des sites ciblés, afin d'obtenir un accès à la base de donnée ou à une page de configuration.

Baldy · 12/02/2009, 15h10

Bonjour

Concernant les failles de sécurité type injections SQL ou autre, je connaissais quelqu'un qui utilisait le logiciel Wapiti, mais c'est un logiciel destiné à Linux.

Je ne sais pas si Windows connait un logiciel efficace pour détecter ce genre de failles ...

02/03/2009, 16h44

Bonjour toutes et tous

Beaucoup de choses fort justes , et sujet bien délicat a traiter,
en attendant, répondant au théme (titre) de ce fil,
Les hackers de sites, comment s'en protéger ?
je dirais, que pour le débutant il faut au minimum, garder le principal en tête,
avec a mon sens deux axes fort différents,

1) celui (le plus complexe) de la responsabilitée de l'hébergeur,
qui doit pour ces clients vérouiller au maximum son serveur.
c 'est un vrais métier, et il est loin d'étre simple. Mais heureusement
cette charge est généralement dans des mains expertes

2) celui du webmaster, et la il suffit d'y voir clair, et n'utiliser et mettre en
oeuvre que le stricte nescessaire en fonction de la destination du site.

Je penses que ce fil s'adresse principalement aux 2em cas, ma façon de voir dans ce domaine, rejoint beaucoup de ce qui a été dit, a savoir maitriser au mieux tout les points qui nous obligent a communiquer avec les visiteurs.

Un site web qui ne ferait qu'afficher des pages et qui n'aurait aucune page de saisies , je veux dire pas de forum, pas de paniers , pas de livres d'or etc .. et dont la rubrique nous joindre seraien un lien avec une simple adresse mail,
n'aurait rien a faire ... toute la sécuritée de son site reposant sur l'hébergeur, voila pourquoi je suis intervenu, car pour bien de ceux qui vous lisent, ils pouraient reculer face aux riques ... Les voila rassurés

numismatique · 14/03/2009, 21h10

Bonjour,

En parcourant ce sujet, je suis tombé sur votre message. Je suis désolé de faire ressortir un ancien post, mais c'est la premiere fois que je trouve un cas similaire au mien.
J'ai déposé ce message il y a quelques heures sur ce forum
http://www.developpez.net/forums/d70...ion-vers-site/
Pourriez vous me dire comment vous avez résolu votre problème ?
Merci beaucoup !
Eric

Citation:

Envoyé par caradhras

Bonjour à tous!

J'ai le même problème que Garra (deux messages plus haut). Comme une démo vaut mieux qu'un bon discours :

1) Allez sur google. Recherchez "golf bordelais" et cliquez sur le premier résultat (à savoir http://www.golf-bordelais.fr). On tombe sur une sorte de blog en anglais sur fond noir.

2) Tapez directement www.golf-bordelais.fr dans la barre d'adresse, ou mieux, sur la page "pirate" selectionnez juste l'adresse et appuyer sur Entrée, et vous tomberez directement sur le bon site...

Quelqu'un a-t-il une idée sur comment remédier à ça?

15/03/2009, 02h06

Citation:

Envoyé par numismatique

Bonjour,

En parcourant ce sujet, je suis tombé sur votre message. Je suis désolé de faire ressortir un ancien post, mais c'est la premiere fois que je trouve un cas similaire au mien.
J'ai déposé ce message il y a quelques heures sur ce forum
http://www.developpez.net/forums/d70...ion-vers-site/
Pourriez vous me dire comment vous avez résolu votre problème ?
Merci beaucoup !
Eric

Pfffffffffffff ... NON car chaque cas est différent, toi par exemple il faudrait qu' avec ton FTP tu ailles récupérer
Intégralement ton htaccess ton index.php et Tout les includes de index.php

C' est la que ça semble se passer

Ce qui rend le travail compliqué, est qu'il sagit d'un malware, qui se cache et agit fugitivement, cherchant a vendre un anti malware ...
L'origine chez toi est lvhook.biz ...
d'ou viens l'image http://lvhook.biz/alert_03.gif

Si tu veux tu nous mets ça ici ou dans un zip ...

0x66656C6978 · 13/06/2009, 17h50

Et hop, un petit papier à consommer sans modération (là aussi...) :

http://www.rahimblakblog.fr/securita...-informatique/

Pour wapiti, cay du python, donc utilisable sur Windows... et pour les hacktivistes, ce que la personne avancait n'est pas juste.

Les SK utilisent google pour faire des mass attacks, le plus souvent sur des CMS (d'où l'utilisé de supprimer la signature de son CMS).

Les hacktivistes, sont comme tous les pirates sauf qu'ils sont politisés, il y en a à différents niveaux de compétences et de spécialités (guerre de l'information, instrusion serveurs, intrusions réseaux, intrusions web, lobbing par internet, piratage de BDD, surveillance des comptes mails etc.). Donc ce n'est pas que ces pirates du dimanche qui défigurent des pages web... loin de là.

pi-2r · 13/06/2009, 21h48

Citation:

Envoyé par 0x66656C6978

http://www.rahimblakblog.fr/securita...-informatique/

tien ce site j'le connais, ainsi que son auteur

0x66656C6978 · 17/06/2009, 10h03

Il faut par ailleurs prendre en compte les trois sphères d'une bonne sécurité web :

- La sphère serveur :

- Sécurité des applications serveur contre les attaques en local/remote (jail, Selinux, droits etc.)
- Sécurité des connexions (protocoles sécurisés, rêgles firewall)
- Sécurité protocoles d'administration SSH etc.
- Sécurité des données (backups, redondance etc.)
- Sécurité de la base de donnée (droits d'utilisateurs, configuration des accès "web"

- Le site internet :

- Sécurité contre les différentes failles "communes" : SQLi - LDAPi - BSQLi - LFI - RFI - XST - XSS - CSRF - HTTPrs - Upload - Directory Traversal - Log. Injection - Headers Injection - Session Hijacking - Shell XSS - Flash Vulnz - nullbyte etc. (en frontoffice & backoffice)

- Si serveur mutualisé, stocker ses sessions dans un dossier où seul nous avons les droits (et non, dans un dossier où tout le monde peu récupérer les sessions...)

- Sécurité des connexions utilisateurs et du stockage des informations : Chiffrage des passes (en SHA ou MD5 avec salt) et adresses Email (sans parler des informations individuelles.)

- Mise en place d'IDS orientés web permettant la détection des tentatives d'attaques contre votre site internet. (ceci permet d'être alerté même avant l'attaque pendant la prise d'informations du pirate sur le serveur)

- L'environnement utilisateur :

- Protection des comptes mail de l'utilisateur, des différents autres comptes sur Internet, aucun mot de passe similaire entre deux services. Protection de ses messages sur les forums (ne pas montrer certains de ses codes sources orientés serveur).

- Protection des différents autres modérateurs, (pareil, comptes mails etc.)

Voilà (bon, y'a d'autres choses hein, c'est un petit panel de ce qu'il faut établir pour avoir un site avec un semblant de protection.) et dans le meilleur des cas, pour bien se protéger, avoir un hacker de son côté

SI vous avez des questions, je suis là.

Dania_dania · 07/03/2010, 13h47

salut tout le monde
donc mon but est le même que "netwebzone"; mais je veux planifier mon travail qui consiste à sécuriser un serveur web ;donc pourriez m'aider à organiser ma mission ( le démarche que je devais suivre ):
-sauvegarde des données.
-mod-security
-les fichiers htaccess
-...

Flaburgan · 10/08/2010, 12h34

Citation:

Envoyé par kankrelune

[*]initialiser ses variables à vide en début de script ($maVar = ''; )

Une explication de pourquoi faire ça ? Un truc en rapport avec isset ?

Clorge · 23/03/2013, 03h41

J'en reste bouche bée...

Ce topic aurais pus aider pas mal de gens, mais c'est du WTF

premièrement, vous dénigrez la communauté hacker (à laquelle j'adhère) en les assimilant à des pirates informatiques --" votre ignorance est sans commune mesure.
Pour vous donner des exemples, voilà le genre de chose que nous faisons entres hackers :
Programmer un soft à plusieurs (et il y a de tout, de l'algorythmie au chiffrement, en passant par des robots)
Réalisations de site avec une faille, et on dis aux autres "Allez trouver la faille", c'est tout à fait légal et cela nous apprend les techniques de sécurisations
Débat sur les nouvelles technologies, et même futures
Analyse de virus afin de lutter contre eux,
Création de système de protection en tout genre.
etc...

Vous trouvez ça illégal ? Voilà ce qu'est un HACKER !!!
Un pirate informatique (ou blackhat) fait des choses similaires (il tente de trouver une faille sur un site... sauf que le propriétaire n'as pas accepté!) il analyse des virus... pour en coder un meilleur!
Vous voyez les différences ?

Donc, je demande à la modération du forum si il serais possible de modifier le titre de ce sujet qui ne fait vraiment pas honneur au glider.

Et autre point très décevant, c'est l'ignorance des gens qui postent sur cette discussion qui est mise en avant.
Les seuls qui ne sont pas visés par cette critique sont ceux de "kankrelune" et "0x66656C6978" dont les interventions remontent à plusieurs années et donc certaines méthodes ne correspondent plusieurs aux systèmes actuels...

Sujet à véritablement revoir, je suis navré de vous le dire.

EDIT : sur le conseil d'un ami et à la relecture, ce qui devrais être un signal d'alarme, pourrais passer aux yeux de certains, comme une attaque gratuite et sans faire avancer les choses, donc je suis en train de rédiger un petit memento sans prétention sur les bonnes pratiques à avoir dans le dévellopement web.

Flaburgan · 25/03/2013, 09h55

Je ne pense pas que modifier un poste daté de 2004 soit vraiment nécessaire. Les personnes s'intéressant vraiment au sujet savent faire la différence entre whitehat et blackhat, et savent aussi que hacker quelque chose veut simplement dire l'utiliser d'une manière différente de ce pourquoi il a été conçu.

Pour le reste, il est très difficile de faire une présentation des bonnes pratiques de sécurité sans présenter des failles et la manière de les exploiter, ce que nous évitons de faire sur développer.com car, quoiqu'on en dise, il se trouvera toujours quelqu'un pour utiliser ces failles de la mauvaise manière, et nous ne voulons pas que cette personne réussisse grâce à notre site.

Cordialement,

Progmeur · 26/03/2013, 13h37

Et qu'advient il des failles peu connue voir connue uniquement par un hacker dans tout ça ?

Le seul moyen de te protéger c'est de faire en sorte que le hacker ne trouve aucun intérêt a pénétré ton site. Prend un exemple entre : google , amazon , facebook , les hacker suffisamment doué pour hacker ces site n'on aucun intérêt a le faire même si sa a déjà été fait, même l'exploit ne sert a rien vue que ces sites font empêcher tout diffusion médiatique d'un hack chez eux (s'a leur ferais une mauvaise pub), il y a presque 1 an google plus s'est fait hacker (s'en est suivi des Ddos d'anonymous soit disant), 4 banque du japon se sont fait hacker(en même temps) combien de personne sur 7 milliard le savent ? Pour te prouver que rien n'est protéger a 100%.

Bref, il te faut juste te méfier des apprentis crasher et pour sa fait des recherches sur google, mais étant donné que tout système est exploitable tu pourras juste te prémunir contre quelques personnes. Sinon, t'as vraiment pas a t'inquiéter de te faire hacker.

Muchos · 26/03/2013, 17h07

Citation:

Envoyé par Progmeur

Le seul moyen de te protéger c'est de faire en sorte que le hacker ne trouve aucun intérêt a pénétré ton site.

Il me semble qu'il y a toujours un intérêt à cracker un site (vol de données, spamming, injection de code chez le visiteur ou sur d'autres sites (courant dans le cas des hébergement mutualisé)); ne serait-ce que pour dire "LOL I PWND UR SITE".

25/05/2006, 19h14	#21
kankrelune Membre chevronné Inscription : décembre 2005 Messages : 763 Détails du profil Informations forums : Inscription : décembre 2005 Messages : 763 Points : 739 Points : 739	Pour rappel concernant php... les fonctions, procédures suivantes sont à employer sans modération... .. . addslashes et mysql_real_escape_string (int)$maVar (par ex dans le cas d'un id) htmlspecialchars, htmlentities voir même carement strip_tags is_file ou file_exists (fameuse faille du include) file_get_contents (pour des fichiers autre que php pas besoin d'include) initialiser ses variables à vide en début de script ($maVar = ''; ) error_reporting(0); pour le site en production le mieux étant paralellement de loguer les erreurs php et de n'afficher le mode debug (pour les script qui en ont) qu'aux admin chmod 444 pour tous les fichiers de config (le mieux étant de les mettre dans un répertoire à part protégé par un .htaccess en deny from all) comme dit précédament donner des noms bizars à tous les fichiers (surtout éviter les admin.php) et répertoires qui n'ont pas à être accédé par les utilisateurs normaux (par exemple utiliser un préfix genre pwet_includes plop_admin) évitez les options "connection automatique" et d'une manière générale ne faire que peu confiance aux cookies (sauf pour des options mineurs genre quel theme veut tu utiliser) stocker une variable unique à l'utilisateur dans la sessions du membre (genre ip + useragent + language le tout hashé avec md5) et le comparer à chaque début de page pour lutter contre le session hijacking comme dit précédament logger les actions des utilisateurs peut être plus qu'instructif config php.ini : register_globals à off, allow_url_fopen à off et safe_mode à on c'est pas du luxe non plus protéger les répertoires contenant les log avec un .htaccess et d'une manière générale tous les répertoire ou l'utilisateur n'est pas censé accéder via http controler la provenance d'un formulaire soit avec la technique captcha (image contenant un code à saisir générée à la volée) ou alors avec la technique du ticket (champs caché du formulaire contenant une id unique générée à la volée) concernant l'identification préférer une requete qui renvoie les infos par rapport au login et comparer ensuite le pass plutot que de juste regarder si le membre existe (WHERE login=$login AND pass=$pass) hascher le pass avec un grain de sel généré à la volée lors de la soumission pour la connection peut être un plus non négligeable... ça donne du fil en plus à tordre au pseudo pirate... temporiser la soumission des infos de connection (genre avec un sleep d'une seconde ou deux) pour eviter les boots et rendre difficil les attaque par brute force... bannir la personnes genre une demi heure si elle se plante plus de trois fois de pass... .. . Voila dans les grandes ligne... la liste est loin d'être exaustive mais, sauf oubli, le plus important est là... .. . @ tchaOo°
	10

12/06/2008, 22h21	#25
Phelim Membre expérimenté Inscription : août 2006 Messages : 316 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur) Informations professionnelles : Secteur : High Tech - Électronique et micro-électronique Informations forums : Inscription : août 2006 Messages : 316 Points : 507 Points : 507	Au debut, j'avais imaginé l'inclusion d'un fichier javascript. A premiere vue, ce n'est pas ça. En desactivant le javascript du navigateur, ça marche encore. Apres, il peut regarder le referer depuis le code php aussi et effectuer une redirection mais sans le code, difficile de voir la difference. effectue 2 recherches. Une sur cette variable Code : Sélectionner tout - Visualiser dans une fenêtre à part $_SERVER['HTTP_REFERER'] Une sur cette fonction dans ton code php Code : Sélectionner tout - Visualiser dans une fenêtre à part header() Ca me parait l'endroit le plus indiqué pour détourner ton site. Ce détournement doit avoir lieux au tout debut de ton script. edit En faite, apres avoir fait quelques recherches sur le net, ton hacker semble utiliser un htaccess http://www.phwinfo.com/forum/fr-comp...t-referer.html Ne me demande pas comment il est rentré, je ne m'y connais pas beaucoup et sans log, c'est carrément la boule de cristale qu'il faut sortir.
	00

02/11/2008, 22h15	#27
pi-2r Rédacteur Inscription : juin 2006 Messages : 1 421 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 421 Points : 1 953 Points : 1 953	Bonsoir, certains Hacktivistes, c'est ainsi que l'on nome le pirate qui efface l'index d'un site web pour faire passer un message (du genre: "Hacked By...."), utilisent parfois le moteur de recherche Google afin de réaliser des testes d'intrusions sur un ou des sites ciblés, afin d'obtenir un accès à la base de donnée ou à une page de configuration. __________________ Les pièges de l'Internet Helix, réponse à une intrusion Beta: Monster SEO "La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius "Si j’ai vu si loin, c’est que j’étais monté sur des épaules de géants." Isaac Newton
	00

25/03/2013, 09h55	#38
Flaburgan Modérateur Développeur informatique Inscription : avril 2010 Messages : 1 192 Détails du profil Informations personnelles : Sexe : Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Électronique et micro-électronique Informations forums : Inscription : avril 2010 Messages : 1 192 Points : 3 673 Points : 3 673	Je ne pense pas que modifier un poste daté de 2004 soit vraiment nécessaire. Les personnes s'intéressant vraiment au sujet savent faire la différence entre whitehat et blackhat, et savent aussi que hacker quelque chose veut simplement dire l'utiliser d'une manière différente de ce pourquoi il a été conçu. Pour le reste, il est très difficile de faire une présentation des bonnes pratiques de sécurité sans présenter des failles et la manière de les exploiter, ce que nous évitons de faire sur développer.com car, quoiqu'on en dise, il se trouvera toujours quelqu'un pour utiliser ces failles de la mauvaise manière, et nous ne voulons pas que cette personne réussisse grâce à notre site. Cordialement, __________________ "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla Je soutiens Diaspora*, le réseau social libre. Veillez à porter une attention toute particulière à l'orthographe... Blog collaboratif avec des amis : http://geexxx.fr Mon avatar a été fait par chiqitos, merci à lui !
	00

02/05/2008, 14h40	#22
Garra Membre confirmé Inscription : janvier 2006 Messages : 753 Détails du profil Informations forums : Inscription : janvier 2006 Messages : 753 Points : 240 Points : 240	Bonjour à tous Ce post est super intéressant et à suivre!!! Mon site est hebergé chez ovh (oui, je sais....) en mutualisé. je viens de m'appercevoir que les abroutis dont vous parliez ils ont tout simplement crée un index.htm alors que mon site est lancé via un index.php. Facile non? Comment éviter qu'on me copie un index.html ou tout simplement obliger mon site à passer toujours par un index.php? J'ai déjà été hackée et lors de la connexion au site mon antivirus m'annoncait un virus. Il a suffit de recopier ma racine sur le serveur ovh mais .... bon Merci de vos conseils
	00

22/05/2008, 14h35	#23
rouliow Invité régulier Inscription : décembre 2004 Messages : 23 Détails du profil Informations forums : Inscription : décembre 2004 Messages : 23 Points : 8 Points : 8	Pourquoi ne pas utiliser des procédures stockées pour régler le problème du Sql injection ? C'est efficace, puissant et je vois pas comment quelqu'un pourrait modifier intentionnellement une requette sql sachant qu'on lui donne que des paramètres? Si on ne fait pas des requettes Sql dynamique il devrait pas y avoir de problème. Bon après faut quand même vérifier les imputs pour éviter d'insérer n'importe quoi
	00

12/06/2008, 20h55	#24
caradhras Membre régulier Inscription : mars 2004 Messages : 126 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : mars 2004 Messages : 126 Points : 72 Points : 72	Bonjour à tous! J'ai le même problème que Garra (deux messages plus haut). Comme une démo vaut mieux qu'un bon discours : 1) Allez sur google. Recherchez "golf bordelais" et cliquez sur le premier résultat (à savoir http://www.golf-bordelais.fr). On tombe sur une sorte de blog en anglais sur fond noir. 2) Tapez directement www.golf-bordelais.fr dans la barre d'adresse, ou mieux, sur la page "pirate" selectionnez juste l'adresse et appuyer sur Entrée, et vous tomberez directement sur le bon site... Quelqu'un a-t-il une idée sur comment remédier à ça?
	00

12/02/2009, 15h10	#28
Baldy Membre régulier Inscription : juin 2008 Messages : 214 Détails du profil Informations personnelles : Sexe : Âge : 29 Localisation : France Informations forums : Inscription : juin 2008 Messages : 214 Points : 92 Points : 92	Bonjour Concernant les failles de sécurité type injections SQL ou autre, je connaissais quelqu'un qui utilisait le logiciel Wapiti, mais c'est un logiciel destiné à Linux. Je ne sais pas si Windows connait un logiciel efficace pour détecter ce genre de failles ...
	00

02/03/2009, 16h44	#29
FoxLeRenard Invité(e) Messages : n/a Détails du profil Informations forums : Messages : n/a Points : 0	Bonjour toutes et tous Beaucoup de choses fort justes , et sujet bien délicat a traiter, en attendant, répondant au théme (titre) de ce fil, Les hackers de sites, comment s'en protéger ? je dirais, que pour le débutant il faut au minimum, garder le principal en tête, avec a mon sens deux axes fort différents, 1) celui (le plus complexe) de la responsabilitée de l'hébergeur, qui doit pour ces clients vérouiller au maximum son serveur. c 'est un vrais métier, et il est loin d'étre simple. Mais heureusement cette charge est généralement dans des mains expertes 2) celui du webmaster, et la il suffit d'y voir clair, et n'utiliser et mettre en oeuvre que le stricte nescessaire en fonction de la destination du site. Je penses que ce fil s'adresse principalement aux 2em cas, ma façon de voir dans ce domaine, rejoint beaucoup de ce qui a été dit, a savoir maitriser au mieux tout les points qui nous obligent a communiquer avec les visiteurs. Un site web qui ne ferait qu'afficher des pages et qui n'aurait aucune page de saisies , je veux dire pas de forum, pas de paniers , pas de livres d'or etc .. et dont la rubrique nous joindre seraien un lien avec une simple adresse mail, n'aurait rien a faire ... toute la sécuritée de son site reposant sur l'hébergeur, voila pourquoi je suis intervenu, car pour bien de ceux qui vous lisent, ils pouraient reculer face aux riques ... Les voila rassurés
	00

13/06/2009, 17h50	#32
0x66656C6978 Invité régulier Inscription : juin 2009 Messages : 6 Détails du profil Informations forums : Inscription : juin 2009 Messages : 6 Points : 6 Points : 6	Et hop, un petit papier à consommer sans modération (là aussi...) : http://www.rahimblakblog.fr/securita...-informatique/ Pour wapiti, cay du python, donc utilisable sur Windows... et pour les hacktivistes, ce que la personne avancait n'est pas juste. Les SK utilisent google pour faire des mass attacks, le plus souvent sur des CMS (d'où l'utilisé de supprimer la signature de son CMS). Les hacktivistes, sont comme tous les pirates sauf qu'ils sont politisés, il y en a à différents niveaux de compétences et de spécialités (guerre de l'information, instrusion serveurs, intrusions réseaux, intrusions web, lobbing par internet, piratage de BDD, surveillance des comptes mails etc.). Donc ce n'est pas que ces pirates du dimanche qui défigurent des pages web... loin de là.
	00

17/06/2009, 10h03	#34
0x66656C6978 Invité régulier Inscription : juin 2009 Messages : 6 Détails du profil Informations forums : Inscription : juin 2009 Messages : 6 Points : 6 Points : 6	Il faut par ailleurs prendre en compte les trois sphères d'une bonne sécurité web : - La sphère serveur : - Sécurité des applications serveur contre les attaques en local/remote (jail, Selinux, droits etc.) - Sécurité des connexions (protocoles sécurisés, rêgles firewall) - Sécurité protocoles d'administration SSH etc. - Sécurité des données (backups, redondance etc.) - Sécurité de la base de donnée (droits d'utilisateurs, configuration des accès "web" - Le site internet : - Sécurité contre les différentes failles "communes" : SQLi - LDAPi - BSQLi - LFI - RFI - XST - XSS - CSRF - HTTPrs - Upload - Directory Traversal - Log. Injection - Headers Injection - Session Hijacking - Shell XSS - Flash Vulnz - nullbyte etc. (en frontoffice & backoffice) - Si serveur mutualisé, stocker ses sessions dans un dossier où seul nous avons les droits (et non, dans un dossier où tout le monde peu récupérer les sessions...) - Sécurité des connexions utilisateurs et du stockage des informations : Chiffrage des passes (en SHA ou MD5 avec salt) et adresses Email (sans parler des informations individuelles.) - Mise en place d'IDS orientés web permettant la détection des tentatives d'attaques contre votre site internet. (ceci permet d'être alerté même avant l'attaque pendant la prise d'informations du pirate sur le serveur) - L'environnement utilisateur : - Protection des comptes mail de l'utilisateur, des différents autres comptes sur Internet, aucun mot de passe similaire entre deux services. Protection de ses messages sur les forums (ne pas montrer certains de ses codes sources orientés serveur). - Protection des différents autres modérateurs, (pareil, comptes mails etc.) Voilà (bon, y'a d'autres choses hein, c'est un petit panel de ce qu'il faut établir pour avoir un site avec un semblant de protection.) et dans le meilleur des cas, pour bien se protéger, avoir un hacker de son côté SI vous avez des questions, je suis là.
	00

07/03/2010, 13h47	#35
Dania_dania Invité de passage dania dania Inscription : mars 2010 Messages : 3 Détails du profil Informations personnelles : Nom : dania dania Informations forums : Inscription : mars 2010 Messages : 3 Points : 4 Points : 4	salut tout le monde donc mon but est le même que "netwebzone"; mais je veux planifier mon travail qui consiste à sécuriser un serveur web ;donc pourriez m'aider à organiser ma mission ( le démarche que je devais suivre ): -sauvegarde des données. -mod-security -les fichiers htaccess -...
	00

23/03/2013, 03h41	#37
Clorge En attente de confirmation mail Inscription : février 2013 Messages : 35 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : février 2013 Messages : 35 Points : 24 Points : 24	J'en reste bouche bée... Ce topic aurais pus aider pas mal de gens, mais c'est du WTF premièrement, vous dénigrez la communauté hacker (à laquelle j'adhère) en les assimilant à des pirates informatiques --" votre ignorance est sans commune mesure. Pour vous donner des exemples, voilà le genre de chose que nous faisons entres hackers : Programmer un soft à plusieurs (et il y a de tout, de l'algorythmie au chiffrement, en passant par des robots) Réalisations de site avec une faille, et on dis aux autres "Allez trouver la faille", c'est tout à fait légal et cela nous apprend les techniques de sécurisations Débat sur les nouvelles technologies, et même futures Analyse de virus afin de lutter contre eux, Création de système de protection en tout genre. etc... Vous trouvez ça illégal ? Voilà ce qu'est un HACKER !!! Un pirate informatique (ou blackhat) fait des choses similaires (il tente de trouver une faille sur un site... sauf que le propriétaire n'as pas accepté!) il analyse des virus... pour en coder un meilleur! Vous voyez les différences ? Donc, je demande à la modération du forum si il serais possible de modifier le titre de ce sujet qui ne fait vraiment pas honneur au glider. Et autre point très décevant, c'est l'ignorance des gens qui postent sur cette discussion qui est mise en avant. Les seuls qui ne sont pas visés par cette critique sont ceux de "kankrelune" et "0x66656C6978" dont les interventions remontent à plusieurs années et donc certaines méthodes ne correspondent plusieurs aux systèmes actuels... Sujet à véritablement revoir, je suis navré de vous le dire. EDIT : sur le conseil d'un ami et à la relecture, ce qui devrais être un signal d'alarme, pourrais passer aux yeux de certains, comme une attaque gratuite et sans faire avancer les choses, donc je suis en train de rédiger un petit memento sans prétention sur les bonnes pratiques à avoir dans le dévellopement web.
	01

26/03/2013, 13h37	#39
Progmeur Invité régulier Stagiaire\Lycéen Inscription : mars 2013 Messages : 61 Détails du profil Informations personnelles : Sexe : Localisation : France, Loiret (Centre) Informations professionnelles : Activité : Stagiaire\Lycéen Informations forums : Inscription : mars 2013 Messages : 61 Points : 7 Points : 7	Et qu'advient il des failles peu connue voir connue uniquement par un hacker dans tout ça ? Le seul moyen de te protéger c'est de faire en sorte que le hacker ne trouve aucun intérêt a pénétré ton site. Prend un exemple entre : google , amazon , facebook , les hacker suffisamment doué pour hacker ces site n'on aucun intérêt a le faire même si sa a déjà été fait, même l'exploit ne sert a rien vue que ces sites font empêcher tout diffusion médiatique d'un hack chez eux (s'a leur ferais une mauvaise pub), il y a presque 1 an google plus s'est fait hacker (s'en est suivi des Ddos d'anonymous soit disant), 4 banque du japon se sont fait hacker(en même temps) combien de personne sur 7 milliard le savent ? Pour te prouver que rien n'est protéger a 100%. Bref, il te faut juste te méfier des apprentis crasher et pour sa fait des recherches sur google, mais étant donné que tout système est exploitable tu pourras juste te prémunir contre quelques personnes. Sinon, t'as vraiment pas a t'inquiéter de te faire hacker.
	02

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email